A empresa americana de cibersegurança KnowBe4 informou que uma pessoa recentemente contratada como Principal Software Engineer revelou-se um ator patrocinado pelo Estado Norte-Coreano, que tentou instalar malware de roubo de informações em seus dispositivos.
A firma conseguiu detectar e impedir as ações maliciosas a tempo, evitando assim, uma violação de dados.
Contudo, o caso ressalta a contínua ameaça imposta por atores de ameaças norte-coreanos que se passam por pessoal de TI, algo sobre o qual o FBI tem repetidamente advertido desde 2023.
A DPRK (República Popular Democrática da Coreia) mantém um exército altamente organizado de trabalhadores de TI que ocultam suas verdadeiras identidades para serem contratados por centenas de empresas americanas.
A receita gerada por esses trabalhadores é utilizada para financiar os programas de armas do país e operações cibernéticas, bem como para coletar inteligência.
Antes de contratar o ator de ameaça, a KnowBe4 realizou verificações de antecedentes, verificou as referências fornecidas e conduziu quatro entrevistas por vídeo para garantir que a pessoa era real e que seu rosto correspondia ao apresentado em seu CV.
No entanto, mais tarde foi determinado que a pessoa havia submetido a identidade roubada de um cidadão dos EUA para burlar as verificações preliminares, e também usou ferramentas de IA para criar uma foto de perfil e combinar esse rosto durante as chamadas de conferência por vídeo.
A KnowBe4, especializada em treinamento sobre conscientização de segurança e simulações de phishing, suspeitou que algo estava errado em 15 de julho de 2024, quando seu produto EDR relatou uma tentativa de carregar malware do workstation Mac que acabara de ser enviado ao novo contratado.
Um porta-voz da KnowBe4 disse que o malware era um info-stealer direcionado a dados armazenados em navegadores web, e que o funcionário mal-intencionado provavelmente esperava extrair informações deixadas no computador antes de ser comissionado a ele.
"O atacante pode ter usado isso para encontrar quaisquer credenciais deixadas de sessões anteriores do navegador como resultado do processo de provisionamento inicial do departamento de TI ou para extrair informações deixadas por um laptop incompleto ou inadequadamente limpo anteriormente emitido a um diferente funcionário", disse o porta-voz da KnowBe4.
Quando confrontado pela equipe de TI da empresa sobre a atividade, o ator do estado inicialmente apresentou desculpas, mas logo cessou toda a comunicação.
Um post do CEO da KnowBe4, Stu Sjouwerman, explica que o esquema envolve enganar o empregador a enviar a estação de trabalho para uma "fazenda de laptops de mula de TI" situada nas proximidades do endereço residencial declarado pelo fraudador em sua aplicação.
Em seguida, eles usam VPN para se conectar a esse dispositivo durante a noite, de modo que parece como se estivessem trabalhando em horário comercial dos EUA, e realizam as tarefas dadas a eles como de costume.
Para mitigar esse risco, a KnowBe4 sugere que as empresas mantenham uma sandbox para novos contratados isolada das partes mais críticas de sua rede.
A empresa também diz para garantir que dispositivos externos de novos contratados não sejam usados remotamente e tratar inconsistências no endereço de envio como um sinal de alerta.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...