Um subgrupo da organização hacker Lazarus, ligada à Coreia do Norte, criou três empresas de fachada, duas nos EUA, para entregar malware a usuários desavisados.
As três empresas de consultoria em criptomoedas falsas — BlockNovas, Angeloper Agency e SoftGlide — estão sendo usadas pelo grupo hacker da Coreia do Norte Contagious Interview para distribuir malware através de entrevistas de emprego falsas, disseram os Analistas de Ameaças da Silent Push em um relatório de 24 de abril.
O analista sênior de ameaças da Silent Push, Zach Edwards, disse em uma declaração de 24 de abril ao X que duas empresas de fachada estão registradas como negócios legítimos nos Estados Unidos.
“Esses sites e uma enorme rede de contas em sites de contratação/recrutamento estão sendo usados para enganar as pessoas a se candidatarem a empregos,” disse ele.
“Durante o processo de aplicação para o emprego, uma mensagem de erro é exibida enquanto alguém tenta gravar um vídeo de introdução. A solução é um truque fácil de clique, copiar e colar, que leva ao malware se o desenvolvedor desavisado concluir o processo.”
Três variantes de malware — BeaverTail, InvisibleFerret e Otter Cookie — estão sendo usadas, de acordo com a Silent Push.
BeaverTail é um malware projetado principalmente para roubo de informações e para carregar estágios adicionais de malware. OtterCookie e InvisibleFerret visam principalmente informações sensíveis, incluindo chaves de carteiras criptográficas e dados da área de transferência.
Analistas da Silent Push disseram no relatório que os hackers usam GitHub, listas de empregos e sites de freelancers para procurar vítimas.
IA usada para criar funcionários falsos
A farsa também envolve os hackers usando imagens geradas por IA para criar perfis de funcionários para as três empresas de criptomoedas de fachada e roubando imagens de pessoas reais.
“Existem numerosos funcionários falsos e imagens roubadas de pessoas reais sendo usadas através desta rede. Documentamos alguns dos fakes óbvios e imagens roubadas, mas é muito importante apreciar que os esforços de impersonificação desta campanha são diferentes”, disse Edwards.
“Em um dos exemplos, os atores de ameaça pegaram uma foto real de uma pessoa real e, em seguida, pareceram ter passado por uma ferramenta de modificação de imagem de IA para criar uma versão sutilmente diferente dessa mesma imagem.”
Esta campanha de malware está em andamento desde 2024. Edwards diz que existem vítimas públicas conhecidas.
A Silent Push identificou dois desenvolvedores alvo da campanha; um deles teria tido sua carteira MetaMask comprometida.
O FBI desde então fechou pelo menos uma das empresas.
“O Federal Bureau of Investigation (FBI) adquiriu o domínio Blocknovas, mas a Softglide ainda está ativa, junto com algumas de suas outras infraestruturas”, disse Edwards.
Pelo menos três fundadores de criptomoedas relataram em março que frustraram uma tentativa de supostos hackers norte-coreanos de roubar dados sensíveis através de falsas chamadas no Zoom.
Grupos como o Lazarus Group são os principais suspeitos em alguns dos maiores roubos cibernéticos na Web3, incluindo o hack de $1,4 bilhão da Bybit e o hack da rede Ronin de $600 milhões.
Revista: O exploit favorito do Lazarus Group revelado — Análise de hacks de criptomoedas
