Hackers da Coreia do Norte usam malware em golpe com criptomoedas

São Paulo — InkDesign News — Profissionais da indústria de criptomoedas e blockchain estão sendo alvo de uma nova onda de ataques cibernéticos através de fraudes de recrutamento, conforme revelado por um estudo recente da Cisco Talos. O grupo, ligado à Coreia do Norte e conhecido como Famous Chollima, tem se infiltrado na rede de recrutamento de empresas legítimas para induzir vítimas a instalar malware disfarçado de drivers de vídeo.

Incidente e vulnerabilidade

Os ataques começaram em meados de 2024 e se tornaram mais sofisticados, com a introdução de um novo malware em Python chamado PylangGhost, uma variante do trojan GolangGhost. Os atacantes se fazem passar por recrutadores de empresas reconhecidas no setor cripto, abordando candidatos cujas habilidades estão alinhadas com as exigências do mercado, como desenvolvedores de software, profissionais de marketing e designers. Os contatos são direcionados a páginas de avaliação de habilidades fraudulentas que imitam a aparência de plataformas conhecidas como Coinbase e Robinhood.

Impacto e resposta

Uma vez que as vítimas interagem com estas páginas e completam testes solicitados, elas são instruídas a gravar uma introdução em vídeo, o que requer a instalação de “drivers de vídeo”. Esse passo resulta no download do malware, que se instala silenciosamente e permite o acesso remoto ao dispositivo da vítima, coletando informações sensíveis, como credenciais e dados de navegadores, incluindo senhas e chaves de carteiras de criptomoedas. A operação visa não apenas extrair dados de solicitantes reais, mas também inserir “funcionários falsos” em empresas autênticas, potencialmente resultando em infiltrações de longo prazo e acesso a dados financeiros valiosos.

Mitigações recomendadas

Em face da crescente sofisticação deste ataque, a Cisco Talos recomenda que os candidatos a vagas nas indústrias de tecnologia e criptomoedas adotem cautelas rigorosas, especialmente em relação às ofertas que requerem a instalação de software ou a execução de comandos no terminal como parte do processo de seleção. As equipes de cibersegurança devem revisar os processos de integração de novos funcionários, especialmente aqueles contratados remotamente, e educar o pessoal sobre táticas de engenharia social. Monitorar conexões de saída inesperadas e downloads de arquivos ZIP estranhos pode ajudar a detectar sinais iniciais de comprometimento.

“Se você está se candidatando a vagas no setor cripto ou tecnológico, seja cauteloso com ofertas que pedem a instalação de software ou a execução de comandos no terminal durante o processo de seleção.
(“If you’re applying for roles in crypto or tech, be cautious with job listings that ask you to install software or run terminal commands as part of an interview.”)

— Cisco Talos, Equipe de Segurança

O desenvolvimento do PylangGhost demonstra uma continuidade da abordagem obscura utilizada pelos atacantes, refletindo a necessidade de um monitoramento constante e medidas de segurança em ambientes digitais.

Fonte: (Hack Read – Segurança Cibernética)