Os métodos de ataque que cibercriminosos de elite usam são muitas vezes tão sofisticados que até mesmo profissionais de cibersegurança têm grandes dificuldades em descobri-los. Há algum tempo, nossos especialistas detectaram uma nova campanha de um grupo norte-coreano chamado Lazarus, reconhecido por seus ataques a Sony Pictures e várias instituições financeiras – um roubo de US$ 81 milhões de dólares do Banco Central da República Popular do Bangladesh, por exemplo.
Neste caso em particular, os invasores decidiram encher os bolsos com algumas criptomoedas. Para abrir as carteiras das vítimas, lançaram um malware nas redes corporativas de diversas exchanges de criptomoedas. Os criminosos confiaram no fator humano e foram recompensados.
Software de operações com uma atualização maliciosa
A penetração na rede começou com um e-mail. Pelo menos um dos funcionários da exchange recebeu uma oferta para instalar um aplicativo de operações financeiras, compra e venda de moedas virtuais chamado Celas Trade Pro, da Celas Limited. Um software como esse pode ser potencialmente útil para a empresa, considerando seu perfil corporativo.
A mensagem incluía um link para o site oficial do desenvolvedor, que parecia normal – tinha até um certificado SSL válido emitido pelo Comodo CA, um dos principais centros de certificação.
O Celas Trade Pro estava disponível para download em duas versões: para Windows e Mac, com uma versão para Linux para ser lançada.
O aplicativo também tinha um certificado digital válido – mais um atributo de um produto legítimo – e seu código não continha componentes perigosos.
Assim que foi instalado com sucesso no computador do funcionário, o Celas Trade Pro iniciou uma atualização. Para isso, entrou em contato com o servidor próprio do fornecedor – nada suspeito, também. Mas ao invés de uma atualização, o dispositivo baixou um Trojan de backdoor.
Fallchill: um malware muito perigoso
Uma backdoor é uma “entrada de serviço” virtual que os criminosos podem usar para penetrar em um sistema. A maioria dos ataques anteriores a exchanges foram realizados com o Fallchill. Em conjunto com alguns outros sinais, ele era a peça-chave de evidência que apontava para os cibercriminosos; o grupo Lazarus já havia usado mais de uma vez essa backdoor, que permite o controle quase ilimitado dos dispositivos infectados. Estas são apenas algumas das suas funcionalidades:
- Procurar, ler e fazer upload de arquivos para o servidor de comando (o mesmo que o software de operações usou para baixar sua atualização);
- Gravar dados em um arquivo específico (qualquer arquivo .exe ou ordem de pagamento, por exemplo);
- Apagar arquivos (Wipe);
- Baixar e executar ferramentas adicionais.
Um olhar mais atento ao programa infectado e seus criadores
Como já explicamos, tanto o programa de trocas quanto seu fornecedor mantiveram uma aparência bastante respeitável durante quase todo o ataque – pelo menos, até que a backdoor fosse instalada. Porém, com uma análise mais aprofundada, detalhes suspeitos apareceram.
Para começar, o atualizador enviava as informações da máquina ao servidor em um arquivo disfarçado como uma imagem GIF e recebia comandos da mesma forma. Não é muito comum programas sérios trocarem imagens durante as atualizações.
Quanto ao site, ao examiná-lo de perto, o certificado do domínio acabou por ser um de baixo nível, que não confirmava nada além do fato de que este pertencia à uma entidade chamada Celas Limited. Não continha qualquer informação sobre a empresa ou seu proprietário (certificados mais avançados implicam essas verificações). Os analistas usaram o Google Maps para verificar o endereço usado para registro do domínio apenas para descobrirem que pertencia a uma construção de um andar que abrigava uma loja de ramen (macarrão oriental).
Sendo pouco provável que os proprietários do pequeno restaurante tenham usado seu tempo livre em programação, a conclusão lógica foi que a informação era falsa. Mesmo assim, os analistas checaram o outro endereço especificado pelo certificado digital do Celas Trading Pro, e encontraram um terreno baldio.
Além disso, a empresa tinha aparentemente pago seu domínio com bitcoins. As transações em criptomoedas são utilizadas quando o anonimato é necessário.
Ainda assim, não conseguimos ter certeza se essa empresa é uma fraude criada para um propósito ou uma vítima de cibercriminosos. Os hackers norte-coreanos têm um histórico de comprometer organizações legítimas para atacar seus parceiros ou clientes.
Você pode ler mais sobre a campanha de APT do Lazarus no relatório completo dos nossos especialistas no Securelist.
O que aprendemos com o caso Lazarus
Como mostra a história, pode ser muito difícil descobrir a fonte de uma ameaça quando há muito dinheiro em jogo. O mercado de criptomoedas está particularmente popular nos últimos tempos, o que atrai golpistas de todas as espécies: de desenvolvedores dos mais diversos tipos de mineradores a grupos criminosos sérios que trabalham por todo o mundo.
O alvo geral da campanha é particularmente interessante: mirava não apenas em usuários Windows, como também em computadores macOS. Essa é outra lembrança de que nenhum sistema operacional é garantia de segurança – os usuários da Apple também precisam garantir sua própria proteção