Um novo malware se estabeleceu no blockchain, a tecnologia que está no centro das criptomoedas. Implantado pelos hackers norte-coreanos Lazarus, o malware resiste às tentativas de remoção.
Um novo malware, chamado Omnistealerfoi descoberto em blockchains públicos, essas redes descentralizadas que estão no centro de como as criptomoedas operam. Tradicionalmente, os hackers hospedam a carga útil, ou seja, a parte do código que executa instruções maliciosas, em servidores ou arquivos compartilhados.
Leia também: Golpe de criptografia na App Store – este aplicativo Ledger falso enganou dezenas de pessoas
Por que esconder um vírus no blockchain?
Como explicam os pesquisadores do Ransom-ISAC, o consórcio internacional por trás da descoberta, Omnistealer está escondido em transações públicas em redes como TRON, Aptos ou Binance Smart Chain. É nessas transações que os hackers escondem a carga do malware. Alguns tipos de transações blockchain permitem a adição de pequenas quantidades de dados arbitrários, por exemplo, notas, metadados ou parâmetros de contratos inteligentes. Os cibercriminosos por trás do Omnistealer aproveitaram isso para inserir texto cifrado, comandos ou até mesmo trechos de código malicioso diretamente. Esses elementos permitem que o vírus se reabasteça e acione a carga final no momento do ataque cibernético.
Ao explorar o blockchain, os hackers conseguem tornar a sua infraestrutura particularmente resiliente. Na verdade, uma transação não pode não ser excluído do blockchaino que permite ao malware resistir a possíveis ofensivas de autoridades ou pesquisadores de segurança. Nas redes descentralizadas não é possível apagar nada. Todos os dados do registro são imutáveis. Este mecanismo foi projetado para tornar as redes blockchain resistentes à censura. Blockchain torna as operações criminosas muito difíceis de impedir. Embora seja possível denunciar um repositório malicioso, desligar um servidor, remover um arquivo de um serviço de armazenamento ou fazer desaparecer um repositório GitHub, é impossível fazer o mesmo com um blockchain. Pesquisadores da MalwareBytes, que transmitem a descoberta do Omnistealer, enfatizam que “podemos revogar domínios e excluir repositórios GitHub, mas não podemos desfazer as alterações feitas” em redes como Tron ou Binance Smart Chain.
No papel, é teoricamente possível apagar dados numa transação, mas é necessário obter o acordo de mais de metade dos validadores do livro-razão. Isto é o que chamamos um ataque de 51%. Isto é muito difícil de conseguir porque é necessário controlar mais de 50% do poder computacional total da rede. Em suma, os hackers escondem-se efetivamente atrás das características técnicas da blockchain. Para o MalwareBytes, os criminosos transformam “registros públicos em uma infraestrutura de comando e controle resiliente e resistente à censura que os defensores não podem simplesmente desmantelar”.
Leia também: Hackers norte-coreanos fizeram uma nova vítima no mundo das criptomoedas
Uma tática que está voltando
Esta não é a primeira vez que um vírus se esconde no coração do blockchain. No ano passado, hackers norte-coreanos, conhecidos pelo codinome UNC5342, esconderam o código de seu malware em contratos inteligentes na blockchain Ethereum ou na Binance Smart Chain. Muito difundidos no mundo das finanças descentralizadas, os contratos inteligentes são programas automatizados que executam ações diretamente em um blockchain. Foi uma tática inédita na época, mas parece que acabou dando ideias para outros grupos criminosos.
Observe que os investigadores do FBI conseguiram rastrear as atividades do Omnistealer até outra gangue de piratas norte-coreanos, o conhecido Lazarus. Financiados pela Coreia do Norte, os hackers estão acostumados a atacar plataformas criptográficas e são mestres na arte de explorar tecnologias blockchain. Portanto, não é surpreendente que Lazarus tenha tido a ideia de ocultar códigos maliciosos em transações no blockchain.
Roubo de dados
As investigações dos pesquisadores do Ransom-ISAC, acompanhados por especialistas da Crystal Intelligence, mostram queOmnistealer é especialmente projetado para roubo de dados. O malware tem como alvo mais de uma dúzia de gerenciadores de senhas como o LastPass, os principais navegadores do mercado como Chrome e Firefox, contas de armazenamento online (Google Drive), bem como mais de 60 carteiras criptográficas baseadas em extensões de navegador (MetaMask, Coinbase). Como todo malware infostealer, o vírus procura sugar tudo o que puder no dispositivo que ele infectou. Tem como alvo principalmente identificadores, senhas, cookies, chaves privadas ou até mesmo tokens de acesso.
De acordo com as investigações do Ransom-ISAC, mais de 300.000 credenciais foram potencialmente comprometidas. Uma grande variedade de setores, incluindo finanças, logística, produção, entretenimento adulto, entrega de alimentos e até mesmo algumas entidades governamentais, encontraram-se na mira dos cibercriminosos. Para atingir seus objetivos, os piratas usam ofertas falsas para empregos de desenvolvimento no LinkedIn ou Upwork. Os hackers enganam as pessoas para que baixem um repositório GitHub enganado, que então se conecta ao blockchain para ativar o malware. Isso irá desviar todas as informações que encontrar.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
MalwareBytes