Atuando com ligações à Coreia do Norte, agentes de ameaças foram flagrados utilizando a LinkedIn como um método para mirar em desenvolvedores através de uma operação de recrutamento de emprego fictícia.
Esses ataques utilizam testes de programação como vetor inicial de infecção comum, disse a Mandiant, uma empresa do Google, em um novo relatório sobre as ameaças enfrentadas pelo setor Web3.
"Após uma conversa inicial via chat, o atacante enviou um arquivo ZIP que continha o malware COVERTCATCH disfarçado como um desafio de programação em Python", disseram os pesquisadores Robert Wallace, Blas Kojusner e Joseph Dobson.
O malware atua como uma plataforma de lançamento para comprometer o sistema macOS do alvo, baixando um payload de segunda fase que estabelece persistência via Launch Agents e Launch Daemons.
É importante salientar que essa é uma de várias clusters de atividades – nomeadamente Operation Dream Job, Contagious Interview, entre outras – realizadas por grupos de hackers da Coreia do Norte que utilizam iscas relacionadas a empregos para infectar alvos com malware.
Iscas temáticas de recrutamento também têm sido uma tática prevalente para entregar famílias de malware como RustBucket e KANDYKORN.
A Mandiant afirmou ter observado uma campanha de engenharia social que entregou um PDF malicioso disfarçado como descrição de emprego para um "VP de Finanças e Operações" em uma proeminente exchange de criptomoedas.
"O PDF malicioso soltou um malware de segunda fase conhecido como RustBucket, que é um backdoor escrito em Rust que suporta execução de arquivos." O implante RustBucket está equipado para coletar informações básicas do sistema, comunicar-se com uma URL fornecida via linha de comando e configurar persistência usando um Launch Agent que se disfarça de "Atualização do Safari" para contactar um domínio de comando e controle (C2) codificado.
O foco da Coreia do Norte em organizações Web3 também vai além da engenharia social para incluir ataques à cadeia de suprimentos de software, como observado nos incidentes direcionados à 3CX e JumpCloud nos últimos anos.
"Uma vez estabelecida uma posição firme via malware, os atacantes passam para gerenciadores de senhas para roubar credenciais, realizam reconhecimento interno via repositórios de código e documentação, e pivotam para o ambiente de hospedagem na nuvem para revelar chaves de carteiras quentes e eventualmente drenar fundos", disse a Mandiant.
A divulgação surge junto a um alerta do Bureau Federal de Investigação (FBI) dos EUA sobre os agentes de ameaça da Coreia do Norte mirando a indústria de criptomoedas usando "campanhas de engenharia social altamente personalizadas e difíceis de detectar".
Esses esforços contínuos, que se passam por empresas de recrutamento ou indivíduos que a vítima pode conhecer pessoal ou indiretamente com ofertas de emprego ou investimento, são vistos como um canal para ousados roubos de cripto projetados para gerar renda ilícita para o reino eremita, que tem sido alvo de sanções internacionais.
Notável entre as táticas empregadas inclui a identificação de negócios relacionados a criptomoedas de interesse, realizando extensa pesquisa pré-operacional sobre seus alvos antes de iniciar contato, e inventando cenários falsos personalizados numa tentativa de apelar para vítimas em potencial e aumentar a probabilidade de sucesso de seus ataques.
"Os atores podem referenciar informações pessoais, interesses, afiliações, eventos, relacionamentos pessoais, conexões profissionais ou detalhes que a vítima pode acreditar serem conhecidos por poucos", disse o FBI, destacando tentativas de construir uma relação de confiança e eventualmente entregar malware.
Se forem bem-sucedidos em estabelecer contato bidirecional, o ator inicial, ou outro membro da equipe do ator, pode passar um tempo considerável interagindo com a vítima para aumentar a sensação de legitimidade e fomentar familiaridade e confiança.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...