Como o MURKYTOUR ataca os candidatos a emprego

Em outubro de 2024, uma campanha cibernética altamente direcionada e habilmente disfarçada surgiu, revelando a implantação de um backdoor furtivo conhecido como MURKYTOUR . A operação, descoberta pela empresa de inteligência de ameaças Mandiant, destaca as táticas em constante evolução de agentes alinhados a Estados e seu foco na dissimulação como ferramenta principal no campo de batalha digital.

A campanha foi atribuída a um grupo identificado como UNC2428, um agente de ameaças cibernéticas alinhado aos interesses iranianos. Sua abordagem não era apenas mais um e-mail de phishing — era uma estratégia de engenharia social sutil e profundamente enganosa, apresentando uma falsa oportunidade de emprego para atrair indivíduos desavisados, especialmente em Israel.

O que é MURKYTOUR?

O MURKYTOUR é um backdoor, um tipo de malware que permite acesso e controle não autorizados de um dispositivo sem o conhecimento do usuário. Neste caso, ele foi instalado silenciosamente após as vítimas se envolverem com o que parecia ser um processo legítimo de candidatura a um emprego. Os invasores se disfarçaram como uma respeitável empresa de defesa israelense, a Rafael, convidando os candidatos a enviar suas credenciais por meio de uma plataforma online falsa.

Quando as vítimas baixavam e executavam o instalador — disfarçado como "RafaelConnect.exe" —, era exibida uma interface de aparência profissional, projetada para ganhar sua confiança. Esse aplicativo, na verdade um instalador falso conhecido como LONEFLEET , pedia aos usuários que inserissem informações pessoais e enviassem um currículo. Nos bastidores, no entanto, outra ferramenta chamada LEAFPILE acionava a implantação furtiva do MURKYTOUR, dando aos invasores acesso de longo prazo ao computador da vítima.

Por que isso importa?

O backdoor MURKYTOUR não é apenas mais um malware — é um símbolo de como a espionagem cibernética se tornou psicologicamente mais sofisticada. Em vez de usar táticas de força bruta, agentes como o UNC2428 estão utilizando engenharia social — manipulando pessoas para que realizem ações que normalmente não realizariam — para violar sistemas silenciosamente.

As implicações dessas táticas são amplas. Visar indivíduos por meio de iscas de emprego permite que invasores alcancem organizações sensíveis, enganando funcionários ou candidatos a emprego vinculados a essas redes. Uma vez obtido o acesso, agentes maliciosos podem coletar informações, roubar dados confidenciais ou se preparar para novas infiltrações.

Uma estratégia mais ampla em jogo

O MURKYTOUR não foi implantado isoladamente. É uma das mais de 20 cepas de malware identificadas pela Mandiant como sendo usadas por agentes de ameaças ligados ao Irã ao longo de 2024. Esse esforço mais amplo inclui grupos como UNC3313 e APT42 , que também se concentraram em engenharia social, spear-phishing e no abuso de ferramentas de software legítimas para permanecerem indetectáveis.

Por exemplo, a UNC3313 utilizou temas de treinamento e webinars para atrair vítimas, distribuindo malware por meio de plataformas familiares de compartilhamento de arquivos. Enquanto isso, a APT42 se concentrou em imitar grandes serviços da web, como Google e Microsoft, para coletar credenciais. Essas táticas revelam um padrão: operadores cibernéticos alinhados ao Irã estão usando personificações realistas e convincentes para contornar as defesas de segurança tradicionais.

Além disso, a infraestrutura em nuvem se tornou um ambiente preferencial para operações de comando e controle. Ao ocultar suas atividades em plataformas comumente usadas por empresas, os invasores dificultam a detecção de comportamentos incomuns pelas equipes de segurança.

Implicações para indivíduos e organizações

O incidente do MURKYTOUR é um forte lembrete da necessidade de vigilância, especialmente em situações que parecem rotineiras — como se candidatar a um emprego. Os cibercriminosos estão cada vez mais mirando a camada humana da segurança, sabendo que ela costuma ser o elo mais fraco.

Para as organizações, isso significa mais do que apenas implantar softwares antivírus ou firewalls. Exige educação contínua e treinamento de conscientização para as equipes, especialmente em setores frequentemente alvos de agentes estatais, como defesa, saúde, finanças e tecnologia.

Os processos de recrutamento e RH também estão se tornando uma linha de frente inesperada na defesa cibernética. As empresas precisam verificar a autenticidade de plataformas de emprego de terceiros e monitorar tentativas de falsificação de identidade. Da mesma forma, os candidatos em potencial devem ter cuidado com mensagens de recrutamento inesperadas e verificar as vagas publicadas nos sites oficiais das empresas.

Considerações finais

A campanha MURKYTOUR se destaca como um caso clássico de espionagem cibernética moderna. Ela combina destreza técnica com manipulação psicológica, explorando a confiança e processos rotineiros para se consolidar. À medida que as ameaças cibernéticas evoluem, compreender campanhas como esta é essencial para antecipar o próximo movimento de agentes de ameaças que operam em nome de Estados-nação.

A melhor defesa? Consciência, vigilância e uma boa dose de ceticismo — especialmente quando a oferta parece boa demais para ser verdade.

Por Willa
April 24, 2025
Trojan
Portuguese
April 24, 2025
Trojan

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.