Campanha “Entrevista Contagiosa” e suas Implicações na Segurança Cibernética

A atividade de atores de ameaças associados à Coreia do Norte, que visam profissionais em busca de emprego na indústria de tecnologia, revela um panorama preocupante em termos de segurança cibernética. A entrega de versões atualizadas de famílias conhecidas de malware, como BeaverTail e InvisibleFerret, exemplifica a estratégia agressiva e coordenada desses grupos maliciosos.

A Campanha e o Método de Ataque

A campanha, identificada como CL-STA-0240 e denominada “Entrevista Contagiosa”, foi inicialmente divulgada pela Palo Alto Networks, através de seu relatório da Unidade 42, em novembro de 2023. Segundo a pesquisa, os atacantes contatam desenvolvedores de software por meio de plataformas de busca de emprego, se passando por possíveis empregadores.

“Os atacantes convidam a vítima para participar de uma entrevista online, onde tentam convencê-la a baixar e instalar malware.”

Fases de Infiltração

A fase inicial de infecção utiliza o BeaverTail, um downloader e ladrão de informações que tem como alvo tanto plataformas Windows quanto Apple macOS. Este malware funciona como um canal para o backdoor InvisibleFerret, permitindo a execução de códigos maliciosos sob o pretexto de uma tarefa de codificação.

Há indícios de que a atividade permanece ativa, apesar da divulgação pública, sugerindo que esses atores de ameaça continuam a atrair desenvolvedores a executar códigos maliciosos. Tal constatação destaca a resiliência e eficácia das táticas empregadas por esses grupos.

Provas de Metodologia de Ataque

Pesquisadores de segurança, como Patrick Wardle e a empresa de cibersegurança Group-IB, descreveram recentemente uma cadeia de ataque que utiliza aplicativos de videoconferência falsos, imitando MiroTalk e FreeConference.com, para infiltrar sistemas de desenvolvedores com BeaverTail e InvisibleFerret.

Um aspecto curioso é que o aplicativo fraudulento é desenvolvido usando Qt, que suporta cross-compilation para Windows e macOS. A versão baseada em Qt do BeaverTail pode roubar senhas de navegadores e coletar dados de várias carteiras de criptomoedas.

Componentes do BeaverTail

O BeaverTail, além de exfiltrar dados para um servidor controlado por adversários, possui a capacidade de baixar e executar o backdoor InvisibleFerret, que contém dois componentes principais:

• Um payload principal que permite a identificação do host infectado, controle remoto, keylogging, exfiltração de dados e download do AnyDesk;
• Um ladrão de navegador que coleta credenciais de navegadores e informações de cartões de crédito.

“Os atores de ameaças norte-coreanos são conhecidos por cometer crimes financeiros para angariar fundos que sustentem o regime da RPDC,” afirmou a Unidade 42. “Essa campanha pode estar motivada financeiramente, uma vez que o malware BeaverTail possui a capacidade de roubar 13 diferentes carteiras de criptomoedas.”

Considerações Finais

A campanha Contagious Interview representa um desenvolvimento alarmante nas estratégias de ataque cibernético, refletindo a evolução das táticas de recrutamento de malware. A persistência e a adaptação dos atacantes são notáveis e devem servir como um alerta para as medidas de segurança cibernética na indústria tecnológica. O conhecimento e a conscientização sobre essas táticas são fundamentais para mitigar os riscos associados a esses tipos de ameaças.

#SegurançaCibernética, #Malware, #CoreiaDoNorte, #Cibersegurança, #BeaverTail, #EntrevistaContagiosa, #Infiltração, #Tecnologia

autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/n-korean-hackers-use-fake-interviews-to.html