Agentes de ameaças afiliados à Coreia do Norte foram observados usando o LinkedIn como uma forma de atingir desenvolvedores como parte de uma operação falsa de recrutamento de empregos.
Esses ataques empregam testes de codificação como um vetor inicial comum de infecção, disse a Mandiant, de propriedade do Google, em um novo relatório sobre ameaças enfrentadas pelo setor Web3.
“Após uma conversa inicial, o invasor enviou um arquivo ZIP que continha malware COVERTCATCH disfarçado como um desafio de codificação Python”, disseram os pesquisadores Robert Wallace, Blas Kojusner e Joseph Dobson.
O malware funciona como uma plataforma de lançamento para comprometer o sistema macOS do alvo baixando uma carga útil de segundo estágio que estabelece persistência por meio de agentes de lançamento e daemons de lançamento.
Vale ressaltar que este é um dos muitos grupos de atividades — como a Operação Emprego dos Sonhos, a Entrevista Contagiosa e outras — realizadas por grupos de hackers norte-coreanos que usam iscas relacionadas ao trabalho para infectar alvos com malware.
Iscas com temas de recrutamento também têm sido uma tática comum para entregar famílias de malware como RustBucket e KANDYKORN.
A Mandiant disse ter observado uma campanha de engenharia social que entregou um PDF malicioso disfarçado como uma descrição de cargo para um “VP de Finanças e Operações” em uma importante bolsa de criptomoedas.
“O PDF malicioso instalou um malware de segundo estágio conhecido como RustBucket, que é um backdoor escrito em Rust que oferece suporte à execução de arquivos.”
O implante RustBucket é equipado para coletar informações básicas do sistema, comunicar-se com uma URL fornecida through linha de comando e configurar a persistência usando um Launch Agent que se disfarça como uma “Safari Replace” para contatar um domínio de comando e controle (C2) codificado.
A perseguição da Coreia do Norte às organizações Web3 também vai além da engenharia social e abrange ataques à cadeia de suprimentos de software program, como observado nos incidentes direcionados à 3CX e à JumpCloud nos últimos anos.
“Depois que um ponto de apoio é estabelecido por meio de malware, os invasores recorrem a gerenciadores de senhas para roubar credenciais, realizam reconhecimento interno por meio de repositórios de código e documentação e recorrem ao ambiente de hospedagem em nuvem para revelar chaves de carteira ativa e, eventualmente, drenar fundos”, disse a Mandiant.
A divulgação ocorre em meio a um alerta do Federal Bureau of Investigation (FBI) dos EUA sobre os ataques de agentes norte-coreanos ao setor de criptomoedas usando “campanhas de engenharia social altamente personalizadas e difíceis de detectar”.
Esses esforços contínuos, que se passam por empresas de recrutamento ou indivíduos que a vítima pode conhecer pessoalmente ou indiretamente com ofertas de emprego ou investimento, são vistos como um canal para assaltos descarados de criptomoedas que são projetados para gerar renda ilícita para o reino eremita, que tem sido alvo de sanções internacionais.
Entre as táticas empregadas, destacam-se a identificação de negócios de interesse relacionados a criptomoedas, a realização de extensa pesquisa pré-operacional sobre seus alvos antes de iniciar o contato e a criação de cenários falsos personalizados na tentativa de atrair possíveis vítimas e aumentar a probabilidade de sucesso de seus ataques.
“Os atores podem fazer referência a informações pessoais, interesses, afiliações, eventos, relacionamentos pessoais, conexões profissionais ou detalhes que uma vítima pode acreditar serem conhecidos por poucas pessoas”, disse o FBI, destacando tentativas de criar relacionamento e, eventualmente, distribuir malware.
“Se for bem-sucedido em estabelecer contato bidirecional, o ator inicial, ou outro membro da equipe do ator, pode passar um tempo considerável interagindo com a vítima para aumentar o senso de legitimidade e gerar familiaridade e confiança.”
