CryptoTimes

EUA dá detalhes do malware de cripto “AppleJeus” usado por hackers norte-coreanos

19 fev 2021, 14:52 - atualizado em 19 fev 2021, 14:52
“AppleJeus” era instalado (sem querer) para o roubo de informações sobre fundos de criptomoedas em diversos países (Imagem: Unsplash/altumcode)

Esta semana, agências governamentais dos EUA publicaram uma análise detalhada sobre uma das ferramentas de cibercrime relacionadas a cripto utilizadas pelo governo norte-coreano.

“AppleJeus” foi criada para operar e parecer um software legítimo de negociação cripto, cujo alvo seriam vítimas que desejassem negociar criptomoedas

Implementado em 2018, AppleJeus foi mascarado por uma série de nomes que pareciam legítimos: Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio e Ants2Whale.

Detalhes sobre o AppleJeus, bem como as formas em que foi usado para obter controle ilícito de computadores, foram publicados nessa quarta-feira (17) em um relatório desenvolvido pelo Departamento Federal de Investigação (FBI), Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Departamento do Tesouro.

O relatório foi publicado após uma grande acusação contra três hackers envolvidos com a Coreia do Norte. Esta semana, promotores americanos acusaram os hackers de inúmeros ataques e roubos — incluindo mais de US$ 100 milhões de fundos roubados de empresas cripto.

Essa decisão veio após outras tentativas de impedir ciberataques ligados ao país asiático. Em agosto de 2020, o Departamento de Justiça dos EUA (DOJ) também tentou recuperar fundos de 280 contas cripto ligadas a tais atividades ilegais.

O relatório dá detalhes sobre o grupo Hidden Cobra, caracterizado como uma “ciberatividade maliciosa pelo governo norte-coreano”, cujo foco são ataques e roubos com criptomoedas.

O relatório indica que cibercriminosos que operam no famoso Lazarus Group roubaram e lavaram centenas de milhões de dólares em criptomoedas desde janeiro de 2020.

Os hackers tinham pessoas e empresas como alvo, como corretoras cripto e empresas de serviços financeiros, cometendo atos criminosos em 32 países em todos os continentes, exceto no africano.

“É provável que esses agentes considerem aplicações de negociação cripto modificadas como um meio de evitar sanções internacionais na Coreia do Norte — as aplicações permitem que obtenham acesso a empresas que realizam transações de criptomoedas e roubam cripto da conta de vítimas”, afirma o relatório.

Quando um usuário faz o download do software modificado, o malware AppleJeus infecta o computador da vítima com uma ferramenta de administração remota.

Isso permite que agentes maliciosos controlem o computador invadido. Assim, hackers podem espalhar a rede malware pela rede da vítima e obter acesso às informações armazenadas.

Segundo o relatório, ao longo do tempo, houve uma evolução na versão do AppleJeus utilizada pelos participantes do grupo Hidden Cobra:

De início, agentes do HIDDEN COBRA utilizavam sites que pareciam hospedar plataformas legítimas de negociação de criptomoedas para infectar vítimas com AppleJeus.

Porém, agora, esses atores estão usando outros vetores iniciais de infecção, como phishing redes sociais e técnicas de engenharia social para fazer com que usuários baixem o malware.

Desde janeiro de 2020, invasões do Hidden Cobra afetaram os seguintes países: Argentina, Austrália, Bélgica, Brasil, Canadá, China, Dinamarca, Estônia, Alemanha, Hong Kong, Hungria, Índia, Irlanda, Israel, Itália, Japão, Luxemburgo, Malta, Países Baixos, Nova Zelândia, Polônia, Rússia, Arábia Saudita, Cingapura, Eslovênia, Coreia do Sul, Espanha, Suécia, Turquia, Reino Unido, Ucrânia e Estados Unidos.

Os setores de finanças, energia, tecnologia, indústria, telecomunicações e governamentais foram atingidos.

Se usuários suspeitam que foram afetados pelo AppleJeus, o relatório recomenda que vítimas gerem novas chaves ou transfiram seus fundos de carteiras cripto que foram comprometidas, expulsem hospedagens afetadas, realizem scans antimalware em computadores infectados e notifiquem o FBI, a CISA ou o Departamento do Tesouro Americano.

Como fraudadores estão roubando cripto
de usuários pelo Tinder e pelas redes sociais