Malware do MacOS da Apple tem como alvo engenheiros e comunidade de criptomoedas
2 minutos de lectura
Os ataques de engenharia social enganam os membros da comunidade para que façam o download de um arquivo ZIP malicioso chamado «Cross-platform Bridges.zip», imitando um bot de arbitragem projetado para geração automática de lucros.
Um novo malware vinculado ao grupo de hackers norte-coreano Lazarus foi descoberto no macOS da Apple. O cavalo de troia teria como alvo engenheiros de blockchain de uma plataforma de exchange de criptomoedas.
O malware do macOS «KandyKorn» é um backdoor furtivo capaz de recuperar dados, listar diretórios, fazer upload/download de arquivos, excluir com segurança, encerrar processos e executar comandos, de acordo com uma análise do Elastic Security Labs.
O fluxograma acima explica passo a passo as etapas executadas pelo malware para infectar e sequestrar os computadores dos usuários. Inicialmente, os hackers espalham módulos baseados em Python por meio de canais do Discord, fazendo-se passar por membros da comunidade.
Os ataques de engenharia social sugestionam os membros da comunidade a baixar um arquivo ZIP malicioso chamado «Cross-platform Bridges.zip», imitando um bot de arbitragem projetado para geração automática de lucros em negociações envolvendo criptomoedas. No entanto, o arquivo importa 13 módulos maliciosos que trabalham juntos para roubar e manipular informações dos dispositivos das vítimas. O relatório diz o seguinte:
«Observamos que o agente da ameaça adotou uma técnica que não vimos ser usada anteriormente para obter persistência no macOS, conhecida como sequestro de fluxo de execução.»
O setor de criptomoedas continua sendo o principal alvo do Lazarus Group. Principalmente por conta dos ganhos financeiros – e não de espionagem, o outro foco operacional principal dos hackers norte-coreanos.
A existência do KandyKorn ressalta que o macOS está sob alcance e mira do Lazarus Group, demonstrando a notável capacidade dos hackers norte-coreanos de criar malwares sofisticados e discretos adaptados para computadores da Apple.
Uma exploração recente no Unibot, um popular bot do Telegram usado para efetuar negociações na exchange descentralizada Uniswap, derrubou o preço do token em 40% em uma hora.
O @TeamUnibot parece estar sendo explorado, o explorador está transferindo memecooins dos usuários do #unibot e as está trocando por $ETH neste momento.
O tamanho atual da exploração é de ~$560K
Endereço do explorador:
— Scopescan ( . ) (@0xScopescan)
A empresa de análise de blockchains Scopescan alertou os usuários do Unibot sobre um hack em andamento, que foi posteriormente confirmado por uma fonte oficial do projeto:
«Tivemos um exploração de aprovação de tokens em nosso novo roteador e pausamos nosso roteador para conter o problema.»
A Unibot se comprometeu a compensar todos os usuários que perderam fundos devido à exploração do contrato.
