Hackers norte-coreanos usam entrevistas de emprego falsas para infectar desenvolvedores com malware multiplataforma

Os agentes de ameaças norte-coreanos encontraram uma maneira astuta de atingir desenvolvedores de software: entrevistas de emprego falsas. Esse método insidioso é projetado para atrair candidatos desavisados na indústria de tecnologia a baixar malware que compromete tanto sua segurança quanto seus sistemas. Pesquisadores de segurança observaram essa campanha, rastreada como CL-STA-0240 e conhecida como "Contagious Interview", onde hackers se apresentam como potenciais empregadores em plataformas de emprego.

Essa operação veio à tona por meio de um relatório da Unidade 42 da Palo Alto Networks. Ela foi divulgada pela primeira vez em novembro de 2023, revelando que os cibercriminosos estão usando versões atualizadas de duas famílias de malware: BeaverTail e InvisibleFerret.

Como o ataque se desenrola

O primeiro ponto de contato acontece em plataformas de busca de emprego, onde hackers norte-coreanos, se passando por recrutadores, alcançam desenvolvedores de software. Eles organizam entrevistas de emprego online, ganhando a confiança de suas vítimas imitando processos legítimos de contratação. Durante essas chamadas entrevistas, os hackers convencem os desenvolvedores a baixar o que eles alegam ser uma tarefa de codificação ou outro material relacionado ao trabalho. Sem o conhecimento da vítima, esses downloads contêm software malicioso.

O processo de infecção começa com o downloader BeaverTail, que é um malware que rouba informações e tem como alvo sistemas Windows e macOS. O BeaverTail atua como uma ponte para um segundo estágio mais perigoso de malware: o backdoor InvisibleFerret, que é baseado na linguagem de programação Python. Apesar da conscientização pública sobre essa operação, relatórios recentes sugerem que os hackers por trás dessa campanha continuam a ter sucesso enganando os desenvolvedores para que executem códigos maliciosos sem saber.

Malware multiplataforma é um pesadelo para desenvolvedores

Uma análise mais profunda feita por especialistas em segurança cibernética como Patrick Wardle e Group-IB mostra o quão abrangente é essa ameaça. Esses invasores usam aplicativos falsos de videoconferência — como imitações de MiroTalk e FreeConference.com — para se infiltrar em sistemas. Esses aplicativos falsos são desenvolvidos usando Qt, uma estrutura popular que permite compilação cruzada em diferentes plataformas, incluindo Windows e macOS.

A versão do BeaverTail baseada em Qt não se limita a apenas uma função. Ele tem a capacidade de roubar senhas de navegadores, bem como dados de carteiras de criptomoedas, o que o torna particularmente perigoso. Ele exfiltra dados para um servidor controlado por hackers, dando aos cibercriminosos acesso a informações pessoais e financeiras confidenciais.

Depois que o BeaverTail fez sua parte, ele instala o InvisibleFerret, que é capaz de atividades muito mais destrutivas. Este malware inclui dois componentes críticos:

  1. Uma carga principal projetada para controle remoto, registro de teclas, impressão digital do sistema infectado e até mesmo download de ferramentas de área de trabalho remota.
  2. Um ladrão de navegadores , que extrai credenciais do navegador, incluindo nomes de usuário, senhas e até mesmo informações de cartão de crédito armazenadas.

Motivação financeira por trás dos ataques

Os atores de ameaças norte-coreanos há muito tempo são associados a crimes cibernéticos motivados financeiramente, frequentemente usando esses ganhos ilícitos para apoiar o regime. A Unidade 42 sugere que essa campanha em particular pode ter um forte motivo financeiro também, especialmente considerando a capacidade do malware de roubar de 13 carteiras de criptomoedas diferentes.

Ao usar ferramentas que podem coletar ativos valiosos, como criptomoedas, credenciais de navegador e até mesmo acesso remoto, os hackers poderiam potencialmente desviar grandes somas de dinheiro. Ataques cibernéticos com motivação financeira, como este, são uma pedra angular da estratégia da Coreia do Norte para escapar de sanções internacionais e financiar suas operações governamentais.

Protegendo-se como desenvolvedor

O aumento de ataques cibernéticos por meio de entrevistas de emprego falsas sinaliza uma mudança preocupante na forma como os hackers estão mirando os desenvolvedores e a comunidade tecnológica mais ampla. Aqui estão algumas etapas para se manter seguro:

  • Verifique os recrutadores : sempre verifique as identidades dos recrutadores ou empregadores que entram em contato com você. Uma simples pesquisa no LinkedIn ou uma visita ao site oficial da empresa pode ajudar a confirmar se a oferta é genuína.
  • Tenha cuidado com os downloads : nunca baixe arquivos de uma fonte não confiável, especialmente se eles vierem de uma plataforma ou indivíduo que você não verificou.
  • Use medidas de segurança fortes : Mantenha seu antivírus e software de detecção de malware atualizados. Considere usar ferramentas de comunicação criptografada e sandboxing ao interagir com entidades desconhecidas online.
  • Monitore carteiras de criptomoedas : se você estiver envolvido com criptomoedas, fique especialmente vigilante. Use carteiras com recursos de segurança fortes e monitore as transações de perto para qualquer atividade suspeita.

Conclusão

O uso de entrevistas de emprego falsas por hackers norte-coreanos para espalhar malware é um lembrete assustador de quão criativos e perigosos os cibercriminosos podem ser. Com ataques direcionados às plataformas Windows e macOS, ninguém está realmente seguro contra essas ameaças. Os desenvolvedores, em particular, devem estar em alerta máximo, pois os hackers continuam a explorar o processo de busca de emprego para roubar dados confidenciais e ativos financeiros. Manter-se informado, vigilante e preparado é a chave para se proteger nesta nova era do crime cibernético.

Por Zane
October 9, 2024
Computer Security
Portuguese
October 9, 2024
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.