Lazarus backdoor na carteira DeFi

O grupo Lazarus continua a caçar criptomoedas: os cibercriminosos distribuem carteiras DeFi com backdoor integrado.

Em meados de dezembro do ano passado, um arquivo suspeito foi carregado no VirusTotal — o serviço online que verifica arquivos em busca de malware. À primeira vista, parecia um instalador de carteira de criptomoedas. Mas nossos especialistas analisaram e descobriram que, além da carteira, ela entrega malware ao dispositivo do usuário. E parece que o programa não é obra de pequenos bandidos — mas dos infames cibercriminosos por trás do Lazarus.

O que é o Lazarus?

Lazarus é um grupo APT. Esses grupos são organizações cibercriminosas que normalmente são bem financiadas, desenvolvem malware complexo e se especializam em ataques direcionados, por exemplo, para espionagem industrial ou política. Roubar dinheiro, se é que isso chega a interessar, geralmente não é seu objetivo principal.

Lazarus, no entanto, é um grupo APT que persegue ativamente o dinheiro de outras pessoas. Em 2016, por exemplo, o grupo fugiu com uma boa quantia do Banco Central de Bangladesh; em 2018, infectou uma troca de criptomoedas com malware; e em 2020 ele tentou o ransomware.

Carteira DeFi com backdoor

O arquivo que chamou a atenção coletiva de nossos pesquisadores continha um instalador infectado para uma carteira de criptomoedas descentralizada legítima. DeFi (financiamento descentralizado) é um modelo financeiro em que não há intermediários como bancos, e todas as transações são feitas diretamente entre os usuários. Nos últimos anos, a tecnologia DeFi vem ganhando popularidade. De acordo com a Forbes, por exemplo, de maio de 2020 a maio de 2021, o valor dos ativos colocados em sistemas DeFi aumentou 88 vezes. Não surpreendentemente, então, o DeFi está atraindo o interesse dos cibercriminosos.

Como exatamente os cibercriminosos convencem as vítimas a baixar e executar o arquivo infectado não é totalmente claro. No entanto, nossos especialistas supõem que os invasores enviam aos usuários e-mails direcionados ou mensagens nas redes sociais. Ao contrário das correspondências em massa, essas mensagens são adaptadas a um destinatário específico e podem parecer muito plausíveis.

De qualquer forma, quando o usuário executa o instalador, ele cria dois executáveis: um — o programa malicioso, o outro — um instalador de carteira de criptografia limpo. O malware se disfarça como navegador Google Chrome e tenta esconder a existência do instalador infectado copiando um instalador limpo em seu lugar, que é executado imediatamente para que o usuário não suspeite de nada. Depois que a carteira é instalada com sucesso, o malware continua a ser executado em segundo plano.

O quanto é perigoso?

O malware que entra no computador com a carteira DeFi é um backdoor. Dependendo das intenções do operador, o backdoor pode coletar informações ou fornecer controle remoto sobre o dispositivo. Especificamente, pode:

  • Iniciar e encerrar processos;
  • Executar comandos no dispositivo;
  • Fazer download de arquivos para o dispositivo, excluí-los e enviar arquivos do dispositivo para o servidor C&C.

Em outras palavras, no caso de um ataque bem-sucedido, o malware pode desativar o antivírus e roubar o que quiser — de documentos valiosos a contas e dinheiro. Ele também pode baixar outros programas maliciosos para o computador conforme os cibercriminosos quiserem. Como sempre, mais detalhes estão disponíveis no detalhamento técnico do Trojan em nosso blog de especialistas Securelist.

Como não ser vítima

Se você lida com finanças, e especialmente com criptomoedas, desconfie de mensagens que tentam convencê-lo a instalar programas de fontes não confiáveis. Além disso, verifique se seus dispositivos estão seguros — em particular aqueles que você usa para transações de criptomoedas. Uma solução de segurança confiável ajudará nos casos em que a atenção simples não for suficiente.

 

Dicas