Hackers norte-coreanos estão utilizando cepas atualizadas de malware em esquemas de falsos recrutadores, com o objetivo de roubar informações e criptomoedas de suas vítimas. Um relatório da Unidade 42 da Palo Alto Networks, publicado na quarta-feira, revelou detalhes sobre um golpe identificado inicialmente em novembro de 2023, no qual agentes de ameaças associados à Coreia do Norte se passam por recrutadores para enganar desenvolvedores de software.
Nesses golpes, os hackers entram em contato com suas vítimas por meio de plataformas de busca de emprego, fingindo ser empregadores em potencial. Eles convidam os alvos para entrevistas online, onde os convencem a baixar malwares como o BeaverTail e o backdoor InvisibleFerret.
O BeaverTail, o primeiro malware a ser implantado na campanha, é compatível com macOS e Windows. Ele é disfarçado em arquivos que imitam aplicativos legítimos, como o MiroTalk (plataforma de videoconferência) e o FreeConference (serviço de chamadas em conferência). Desde julho, a Unit 42 detectou novas versões do BeaverTail que, além de roubar senhas de navegadores, agora coletam credenciais de carteiras de criptomoedas, um reflexo do interesse financeiro crescente dos agentes norte-coreanos. A versão atualizada do malware pode atingir 13 extensões de navegadores voltadas para criptomoedas, em comparação com as nove anteriores.
Além disso, o InvisibleFerret é um backdoor que registra teclas digitadas, exfiltra arquivos confidenciais e instala a ferramenta AnyDesk, permitindo que os hackers assumam o controle remoto do dispositivo da vítima. Ele também rouba senhas de navegadores e dados de cartões de crédito. Segundo os pesquisadores, pequenas modificações foram feitas no código ao longo do tempo, indicando que os criadores do malware continuam a aprimorar suas técnicas entre os ataques.
Essa campanha faz parte de um esforço maior da Coreia do Norte, que utiliza golpes cibernéticos para comprometer dispositivos e dados de grandes empresas de tecnologia. Os hackers, que frequentemente utilizam o LinkedIn para se conectar às vítimas, têm como alvo potenciais candidatos a emprego, possivelmente visando manter o acesso aos sistemas de novas empresas após a contratação desses profissionais.
Os pesquisadores também alertaram sobre os riscos que surgem caso o malware seja instalado em dispositivos corporativos, potencialmente comprometendo informações sensíveis de empresas. Nos últimos meses, tanto especialistas em cibersegurança quanto agências governamentais têm intensificado o monitoramento das atividades cibernéticas da Coreia do Norte, que usa ataques como esses para financiar seu programa de mísseis balísticos.
Via - TRM
Comments