E-mails de Empregos Falsos Usados para Espalhar o Malware BeaverTail

Um novo ataque cibernético está mirando pessoas que procuram emprego, utilizando e-mails de recrutamento falsos para espalhar malware disfarçado de arquivos de desenvolvedor inofensivos.

Especialistas em cibersegurança da ASEC, que foram os primeiros a identificar este malware, explicam que este incidente representa uma tática crescente onde os invasores se disfarçam como recrutadores ou membros de comunidades de desenvolvedores.

O incidente veio à tona pela primeira vez em 29 de novembro de 2024, quando hackers usaram a identidade do Dev.to para se passar pelos desenvolvedores da plataforma.

Os atacantes enviaram emails contendo links para o repositório de código BitBucket, pedindo aos usuários que revisassem o projeto. Os arquivos do projeto continham malware oculto, que estava disfarçado como arquivos de projeto comuns.

Os arquivos falsos incluíam duas grandes ameaças: um malware baseado em JavaScript chamado BeaverTail, disfarçado como um arquivo “tailwind.config.js”, e um segundo componente chamado car.dll, que atua como um downloader. Quando abertos, esses arquivos trabalham juntos para roubar detalhes de login, dados do navegador e até mesmo informações da carteira de criptomoedas.

“BeaverTail é conhecido por ser distribuído principalmente em ataques de phishing disfarçados de ofertas de emprego”, explicaram os pesquisadores da ASEC. Versões anteriores deste ataque foram identificadas em plataformas como o LinkedIn.

O malware representa uma ameaça significativa porque disfarça seu verdadeiro propósito, imitando operações padrão do sistema. O malware emprega ferramentas PowerShell e rundll32, que são utilitários padrão do Windows, para evitar a detecção por softwares antivírus.

Após penetrar em um sistema, o malware recupera e executa o Tropidoor, que funciona como uma backdoor avançada. A ferramenta estabelece conexões criptografadas com servidores remotos enquanto executa mais de 20 comandos diferentes que incluem exclusão de arquivos, injeção de código de programa e captura de capturas de tela.

“Tropidoor… coleta informações básicas do sistema e gera uma chave aleatória de 0x20 bytes, que é criptografada com uma chave pública RSA”, disseram os pesquisadores. Esta conexão segura permite que os hackers controlem máquinas infectadas sem serem notados.

As equipes de segurança instam todos a permanecerem muito vigilantes neste momento. Tenha cuidado com e-mails de recrutamento inesperados, especialmente aqueles com links para repositórios de código ou aqueles que pedem para você baixar arquivos de projeto. Sempre verifique com a empresa oficial antes de abrir qualquer conteúdo.