O ator de ameaças vinculado à Coreia do Norte, conhecido como Sapphire Sleet, estima-se que tenha roubado mais de $10 milhões em criptomoeda como parte de campanhas de engenharia social orquestradas ao longo de um período de seis meses.
Essas descobertas vêm da Microsoft, que disse que múltiplos clusters de atividades ameaçadoras com laços com o país foram observados criando perfis falsos no LinkedIn, posando tanto como recrutadores quanto como candidatos a emprego para gerar receita ilícita para a nação sancionada.
Sapphire Sleet, que é conhecido por estar ativo desde pelo menos 2020, coincide com grupos de hacking acompanhados como APT38 e BlueNoroff.
Em novembro de 2023, o gigante da tecnologia revelou que o ator de ameaças havia estabelecido infraestrutura que se passava por portais de avaliação de habilidades para realizar suas campanhas de engenharia social.
Um dos principais métodos adotados pelo grupo por mais de um ano é se passar por um capitalista de risco, alegando de forma enganosa interesse na empresa do usuário alvo para configurar uma reunião online.
Alvos que caem na isca e tentam se conectar à reunião recebem mensagens de erro que os instam a entrar em contato com o administrador da sala ou equipe de suporte para assistência.
Caso a vítima entre em contato com o ator de ameaça, ela é enviada um arquivo AppleScript (.scpt) ou um arquivo Visual Basic Script (.vbs) dependendo do sistema operacional usado para resolver a suposta questão de conexão.
Por trás dos panos, o script é usado para baixar malware no Mac ou máquina Windows comprometida, permitindo finalmente aos atacantes obter credenciais e carteiras de criptomoeda para roubo subsequente.
Sapphire Sleet foi identificado se passando por recrutadores de firmas financeiras como a Goldman Sachs no LinkedIn para se aproximar de alvos em potencial e pedir que completem uma avaliação de habilidades hospedada em um site sob seu controle.
"O ator de ameaça envia para o usuário alvo uma conta de acesso e senha," disse a Microsoft.
Ao acessar o site e baixar o código associado à avaliação de habilidades, o usuário alvo baixa malware em seu dispositivo, permitindo aos atacantes ganhar acesso ao sistema. Redmond também caracterizou o envio pela Coreia do Norte de milhares de trabalhadores de TI ao exterior como uma ameaça tripla que faz dinheiro para o regime através de trabalho "legítimo", permite que eles abusem de seu acesso para obter propriedade intelectual, e facilita o roubo de dados em troca de resgate.
"Já que é difícil para uma pessoa na Coreia do Norte se inscrever para coisas como uma conta bancária ou número de telefone, os trabalhadores de TI devem utilizar facilitadores para ajudá-los a adquirir acesso a plataformas onde eles podem se candidatar a empregos remotos," disse ela.
Esses facilitadores são usados pelos trabalhadores de TI para tarefas como criar uma conta em um site de empregos freelance.
Isso inclui criar perfis e portfólios falsos em plataformas de desenvolvedor como GitHub e LinkedIn para se comunicar com recrutadores e se candidatar a empregos.
Em algumas instâncias, eles também foram encontrados usando ferramentas de inteligência artificial (AI) como Faceswap para modificar fotos e documentos roubados de vítimas ou mostrá-los contra o fundo de cenários profissionais.
Essas fotos são então utilizadas em currículos ou perfis, às vezes para várias personas, que são submetidos para aplicações de trabalho.
"Além de usar AI para ajudar a criar imagens usadas com aplicações de trabalho, trabalhadores de TI norte-coreanos estão experimentando com outras tecnologias de AI como software de mudança de voz," disse a Microsoft.
Os trabalhadores de TI norte-coreanos parecem ser muito organizados quando se trata de rastrear pagamentos recebidos.
No geral, este grupo de trabalhadores de TI norte-coreanos parece ter feito pelo menos 370.000 dólares americanos através de seus esforços.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...