Hackers Usam Falsas Empresas de Criptomoedas para Espalhar Malware em Golpes de Emprego

Hackers norte-coreanos estão se passando por empresas de criptomoedas, enganando candidatos a emprego para baixar malwares que roubam credenciais de carteira durante falsas entrevistas.

Pesquisadores de segurança da Silent Push descobriram uma nova campanha de ciberataque orquestrada pelo grupo de hackers norte-coreano conhecido como Contagious Interview, também referido como Famous Chollima.

O grupo está operando três empresas fraudulentas de criptomoedas – BlockNovas LLC, Angeloper Agency e SoftGlide LLC – para enganar candidatos a emprego a instalar malwares.

O esquema começa com falsas ofertas de emprego em sites de freelancers e recrutamento, visando indivíduos buscando papéis na indústria de criptomoedas. Quando os candidatos respondem, eles são solicitados a baixar arquivos supostamente contendo materiais de entrevista ou desafios de programação.

Esses arquivos, no entanto, entregam software malicioso identificado como BeaverTail, InvisibleFerret e OtterCookie. O malware é projetado para roubar dados sensíveis, incluindo credenciais de carteiras de criptomoedas.

Para reforçar a credibilidade do golpe, os hackers criam perfis falsos de funcionários usando imagens geradas por IA. Algumas dessas fotos foram produzidas com Remaker AI, uma ferramenta projetada para fabricar retratos realistas.

As três empresas fraudulentas – BlockNovas, Angeloper e SoftGlide – se apresentam como negócios legítimos, mas seu principal objetivo é distribuir malware. As vítimas são enganadas a executar código malicioso durante o que acreditam ser avaliações técnicas ou entrevistas.

Os hackers contam com plataformas como GitHub, mercados de freelancers e quadros de empregos para distribuir o malware e gerenciar suas operações.

A estratégia de ataque está alinhada com um padrão visto em operações passadas pela Contagious Interview, um subgrupo da equipe Lazarus apoiada pelo estado da Coreia do Norte. Conhecida por usar ofertas de emprego falsas e personas geradas por inteligência artificial, a Lazarus utiliza proxies residenciais e VPNs para mascarar sua localização enquanto mira indivíduos em todo o mundo.

Para se proteger contra esses ataques, especialistas aconselham os candidatos a empregos a desconfiar de quaisquer ofertas que exijam o download de arquivos desconhecidos ou a execução de código. Também é essencial verificar a legitimidade das empresas antes de participar de entrevistas e usar software de segurança atualizado.

Uma desenvolvedora relatou sua experiência: “Eu queria compartilhar como minha carteira MetaMask foi hackeada ontem como um conto de advertência.”

“Recebi um novo projeto através do Freelancer.com. O cliente tinha um selo de ‘pagamento verificado’, então eu presumi que eles eram legítimos. O projeto envolvia desenvolvimento de backend web3, o qual eu estava confiante de que poderia lidar,” ela continuou.

“Depois de aceitar o contrato, o cliente me convidou para o projeto deles no GitLab e pediu que eu executasse o código do backend deles. Logo após executá-lo, percebi que minha carteira MetaMask havia sido comprometida”, alertou a desenvolvedora.