Atores de ameaças ligados à Coreia do Norte foram vistos usando o LinkedIn como meio de atingir desenvolvedores como parte de uma operação fraudulenta de recrutamento.
Esses ataques usam testes de codificação como um método comum de infecção, disse a Mandiant, de propriedade do Google, em um novo relatório sobre as ameaças que o setor Web3 enfrenta.
“Após a conversa inicial, o invasor enviou um arquivo ZIP contendo o malware COVERTCATCH disfarçado como um desafio de codificação Python”, disseram os pesquisadores Robert Wallace, Blas Kojusner e Joseph Dobson.
O malware atua como uma plataforma de lançamento para comprometer o sistema macOS do alvo, baixando cargas de segundo nível que ganham persistência por meio de Launch Agents e Launch Daemons.
É importante notar que este é um dos muitos conjuntos de operações – nomeadamente Operação Dream Job, Contagious Interview e outras – realizadas por grupos de hackers norte-coreanos que usam truques relacionados ao trabalho para infectar alvos com malware.
Golpes com tema de recrutamento também se tornaram uma estratégia comum para entregar famílias de malware como RustBucket e KANDYKORN.
A Mandiant disse ter visto uma campanha de engenharia social que entregou um PDF malicioso disfarçado como uma descrição de cargo para um “VP de Finanças e Operações” em uma importante bolsa de criptomoedas.
“O PDF malicioso lançou um malware de segundo estágio conhecido como RustBucket, que é um backdoor escrito em Rust que suporta extração de arquivos.”
O implante RustBucket está equipado para coletar informações básicas do sistema, comunicar-se com uma URL fornecida por meio da linha de comando e configurar a persistência usando um Launch Agent disfarçado de “Safari Update” para se comunicar com um comando e controle codificado (C2) domínio.
O direcionamento da Coreia do Norte às organizações Web3 também vai além da engenharia social para incluir ataques de software, conforme observado em incidentes direcionados ao 3CX e ao JumpCloud nos últimos anos.
“Uma vez estabelecida uma base de uso de malware, os invasores recorrem a gerenciadores de senhas para roubar informações, conduzir investigações internas com códigos de registro e documentos e acessar o armazenamento em nuvem para revelar chaves de carteiras quentes e, por fim, retirar fundos”, disse Mandiant.
A divulgação ocorre em meio a um alerta do Federal Bureau of Investigation (FBI) dos EUA sobre o ataque a atores terroristas norte-coreanos na indústria de criptomoedas usando “campanhas de engenharia social altamente projetadas e difíceis de detectar”.
Esses esforços contínuos, que fazem com que empresas de recrutamento ou pessoas que possam ser vítimas que não conheçam pessoal ou indiretamente por meio da oferta de trabalho ou investimento, sejam vistos como uma forma de busca por roubos de criptomoedas destinados a gerar dinheiro ilegal para o estado eremita , que tem sido o assunto. sanções internacionais.
Entre as táticas utilizadas, destacam-se a identificação de empresas interessadas relacionadas à criptomoeda, a realização de extensas pesquisas pré-operacionais sobre suas intenções antes de iniciar o contato e a criação de situações impessoais em um esforço para atrair vítimas em potencial e aumentar a probabilidade de seu ataque ser bem-sucedido.
“Os jogadores podem referir-se a informações pessoais, interesses, associações, eventos, relacionamentos pessoais, conexões profissionais ou informações que a vítima pode não acreditar que sejam conhecidas por outras pessoas”, disse o FBI, destacando os esforços para construir relacionamentos e, em última análise, entregar o malware. .
“Se for bem sucedido no estabelecimento de dois contactos, o primeiro actor, ou outro membro da equipa do actor, pode passar mais tempo a entrevistar a vítima para aumentar o sentido de legitimidade e criar familiaridade e confiança”.
