O grupo ligado à Coreia do Norte, chamado Lazarus Group, foi associado a uma campanha ativa que utiliza ofertas de emprego falsas no LinkedIn, visando os setores de criptomoeda e turismo, para entregar malware capaz de infectar sistemas operacionais Windows, macOS e Linux.
De acordo com a empresa de cibersegurança Bitdefender, o golpe começa com uma mensagem enviada em uma rede social profissional, atraindo os alvos com a promessa de trabalho remoto, flexibilidade de meio período e bom salário.
"Assim que o alvo demonstra interesse, o 'processo de contratação' se desenrola, com o golpista solicitando um CV ou até mesmo um link para um repositório pessoal no GitHub", disse a firma romena em um relatório compartilhado.
Ainda que pareçam inocentes, esses pedidos podem servir a propósitos nefastos, como coletar dados pessoais ou conferir um verniz de legitimidade à interação. Uma vez que os detalhes solicitados são obtidos, o ataque avança para a próxima etapa, onde o ator de ameaças, sob a aparência de um recrutador, compartilha um link para um repositório no GitHub ou Bitbucket contendo uma versão de um produto mínimo viável (MVP) de um suposto projeto de exchange descentralizada (DEX) e instrui a vítima a examiná-lo e fornecer seu feedback.
Dentro do código há um script ofuscado configurado para recuperar um payload de próxima etapa de api.npoint[.]io, um stealer de informações JavaScript multiplataforma capaz de colher dados de várias extensões de carteira de criptomoedas que podem estar instaladas no navegador da vítima.
O stealer também funciona como um loader para recuperar um backdoor baseado em Python responsável por monitorar alterações no conteúdo da área de transferência, manter acesso remoto persistente e soltar malware adicional.
Neste estágio, vale ressaltar que as táticas documentadas pela Bitdefender exibem sobreposições com um conhecido cluster de atividade de ataque apelidado de Contagious Interview (também conhecido como DeceptiveDevelopment e DEV#POPPER), que é projetado para soltar um stealer de JavaScript chamado BeaverTail e um implante em Python denominado InvisibleFerret.
"O malware analisado parece estar dentro do cluster de Contagious Interview", disse Bitdefender Labs.
No entanto, a amostra infectada de JavaScript é diferente de outras amostras de BeaverTail que foram vistas no passado.
Também observamos outros detalhes na cadeia de infecção que nos levam a acreditar que os atores de ameaça estão continuamente se adaptando e aprimorando suas táticas. O malware implantado por meio do malware Python é um binário .NET que pode baixar e iniciar um servidor proxy TOR para se comunicar com um servidor de comando e controle (C2), exfiltrar informações básicas do sistema e entregar outro payload que, por sua vez, pode sifonar dados sensíveis, registrar teclas e lançar um minerador de criptomoedas.
"A cadeia de infecção dos atores de ameaças é complexa, contendo software malicioso escrito em múltiplas linguagens de programação e usando uma variedade de tecnologias, como scripts Python multicamadas que decodificam e executam a si mesmos recursivamente, um stealer de JavaScript que primeiro coleta dados do navegador antes de pivotar para payloads adicionais e stagers baseados em .NET capazes de desativar ferramentas de segurança, configurar um proxy Tor e lançar mineradores de cripto", disse a Bitdefender.
Há evidências sugerindo que esses esforços são bastante disseminados, a julgar pelos relatos compartilhados no LinkedIn e Reddit, com pequenas modificações na cadeia geral de ataque.
Em alguns casos, os candidatos são solicitados a clonar um repositório Web3 e executá-lo localmente como parte de um processo de entrevista, enquanto em outros são instruídos a corrigir bugs intencionalmente introduzidos no código.
Um dos repositórios Bitbucket em questão refere-se a um projeto chamado "miketoken_v2".
Já não está mais acessível na plataforma de hospedagem de código.
A Bitdefender disse que a atividade faz parte da mesma campanha, com os nomes dos repositórios e perfis dos recrutadores sendo alterados.
A divulgação ocorre um dia após a SentinelOne revelar que a campanha Contagious Interview está sendo usada para entregar outro malware codinome FlexibleFerret.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...