Ao fim de 2020, os pesquisadores do Kaspersky identificaram dois incidentes de segurança realizados por um grupo especializados de cibercriminosos visando entidades ligadas no combate à Covid-19, sendo que um dos alvos era um ministério de saúde e o outro, uma empresa farmacêutica. Os especialistas da empresa acreditam que as atividades podem ser atribuídas ao grupo Lazarus.
À medida que a pandemia segue pelo mundo, muitos esforços estão sendo feitos para acelerar o desenvolvimento da vacina. Ao mesmo tempo, criminosos tentam se aproveitar do momento de urgência para atacar entidades que estão à frente dessas pesquisas. Os especialistas da Kaspersky, em seu acompanhamento contínuo de campanhas do grupo Lazarus contra vários setores, descobriram que ele está por trás de alguns incidentes recentes relacionados à Covid-19.
O primeiro incidente identificado foi contra uma agência governamental de saúde. Em 27 de outubro passado, dois servidores Windows dessa organização foram comprometidos com um malware sofisticado, antigo conhecido da Kaspersky e denominado 'wAgent'. Uma análise mais detalhada mostrou que o programa malicioso usado contra essa entidade tem o mesmo esquema de infecção que o grupo Lazarus usava em ataques a empresas de criptomoeda.
O segundo incidente envolveu uma empresa farmacêutica. De acordo com a telemetria da Kaspersky, a empresa sofreu uma violação de dados no último 25 de setembro. A empresa está desenvolvendo uma vacina contra a Covid-19 e também está licenciada para produzi-la e distribuí-la. Desta vez, o invasor implantou o malware Bookcode, cuja conexão com o Lazarus já fora reportado em um recente ataque à cadeia de suprimentos executado por meio de uma empresa de software sul-coreana. Outros métodos de distribuição do Bookcode testemunhados pelos pesquisadores da Kaspersky incluem campanhas de spear-phishing e comprometimento de sites específicos.
Tanto o malware wAgent quanto o Bookcode contam com funcionalidades semelhantes, como backdoors completos. Após concluir a infecção, o grupo por trás do ataque pode controlar a máquina da vítima da forma que quiser.