Hackers da Coréia do Norte se passam por recrutadores e candidatos a emprego em campanhas de Malware
23 de Novembro de 2023

Atores de ameaça norte-coreanos foram relacionados a duas campanhas nas quais se disfarçam tanto de recrutadores quanto de candidatos a empregos para distribuir malware e obter emprego não autorizado em organizações com base nos EUA e em outras partes do mundo.

Os agrupamentos de atividade foram codinomeados "Entrevista Contagiosa" e "Sapa de Salário", respectivamente, pela Palo Alto Networks Unit 42.

Enquanto o primeiro conjunto de ataques visa "infectar desenvolvedores de software com malware por meio de uma entrevista de emprego fictícia", o último é projetado para ganho financeiro e espionagem.

"O objetivo da primeira campanha provavelmente é o roubo de criptomoeda e o uso de alvos comprometidos como um ambiente de preparação para ataques adicionais", disse a empresa de cibersegurança.

A atividade fraudulenta de procura de trabalho, por outro lado, envolve o uso de um repositório do GitHub para hospedar currículos com identidades falsificadas que se passam por indivíduos de várias nacionalidades.

Os ataques de Entrevista Contagiosa abrem o caminho para dois malwares cross-platform até então não documentados chamados BeaverTail e InvisibleFerret, que podem rodar em sistemas Windows, Linux e macOS.

Vale ressaltar que o conjunto de intrusões compartilha sobreposições táticas com atividades de ameaças norte-coreanas anteriormente relatadas, denominadas Operação Emprego dos Sonhos, que envolve o contato com funcionários com ofertas de emprego potenciais e os engana para baixar ferramentas maliciosas - um pacote npm desonesto hospedado no GitHub neste caso - como parte de uma entrevista online.

"O ator da ameaça provavelmente apresenta o pacote à vítima como um software para revisão ou análise, mas na verdade contém JavaScript malicioso destinado a infectar o host da vítima com malware de backdoor", disse a Unit 42.

BeaverTail, o implante JavaScript, é ladrão e carregador que tem capacidades para roubar informações sensíveis de navegadores da web e carteiras de cripto, além de entregar payloads adicionais, incluindo InvisibleFerret, um backdoor baseado em Python com capacidades de fingerprinting, controle remoto, registro de teclas e extração de dados.

InvisibleFerret também foi projetado para baixar o cliente AnyDesk de um servidor controlado pelo ator para acesso remoto.

Neste mês, a Microsoft alertou que o famoso sub-grupo do Grupo Lazarus, chamado de Safira Gelo (também conhecido como BlueNoroff), estabeleceu nova infraestrutura que se passa por portais de avaliação de habilidades como parte de suas campanhas de engenharia social.

Esse não é a primeira vez que atores de ameaças norte-coreanos abusam de módulos falsos em npm e PyPI.

Em meados de junho e julho de 2023, Phylum e GitHub detalharam uma campanha de engenharia social que visava as contas pessoais do GitHub dos funcionários de empresas de tecnologia para disseminar um pacote npm falsificado sob a aparência de colaboração em um projeto de código aberto.

Os ataques foram atribuídos a outro grupo conhecido como Jade Gelo, também chamado de TraderTraitor e UNC4899, e tem sido implicado no ataque JumpCloud que ocorreu mais ou menos na mesma época.

A descoberta do Sapa de Salário reflete um aviso recente do governo dos EUA, que divulgou a ardilosa estratégia norte-coreana para burlar sanções enviando um exército de trabalhadores de TI altamente qualificados para obter emprego em várias empresas globais e desviar seus salários para financiar os programas de armas do país.

"Alguns currículos incluem links para um perfil do LinkedIn e links para conteúdo no GitHub", disse a empresa de cibersegurança.

"Essas contas do GitHub parecem bem mantidas e têm um histórico de atividades longo.

Essas contas indicam atualizações frequentes de código e socialização com outros desenvolvedores.

Como resultado, essas contas do GitHub são quase indistinguíveis das contas legítimas."

"Criaríamos de 20 a 50 perfis falsos por ano até sermos contratados", disse um trabalhador de TI norte-coreano que recentemente desertou, de acordo com a Reuters, que também compartilhou detalhes da campanha do Sapa de Salário.

O desenvolvimento ocorre enquanto a Coreia do Norte afirmou que colocou com sucesso um satélite espião militar no espaço, depois de duas tentativas falhas em maio e agosto deste ano.

Isso também ocorre após uma nova campanha de ataque orquestrada pelo grupo ligado à Coréia do Norte, Andariel - outro elemento subordinado ao Lazarus - para entregar Black RAT, Lilith RAT, NukeSped e TigerRAT, infiltrando servidores MS-SQL vulneráveis, bem como por meio de ataques à cadeia de suprimentos usando um software de gerenciamento de ativos sul-coreano.

"Os desenvolvedores de software geralmente são o elo mais fraco nos ataques à cadeia de suprimentos, e as ofertas de emprego fraudulentas são uma preocupação contínua, por isso esperamos atividade contínua da Entrevista Contagiosa", disse a Unit 42.

"Além disso, o Sapa de Salário representa uma oportunidade para inserir infiltrados nas empresas alvo."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...