Hackers Norte-Coreanos Usando Falsas Ofertas de Emprego no LinkedIn

Atacantes norte-coreanos têm usado o LinkedIn para visar desenvolvedores por meio de esquemas falsos de recrutamento de empregos, conforme relatado hoje pelo Hacker News. Os atacantes utilizam testes de codificação como método inicial para infectar as vítimas, conforme destacado em um relatório da Mandiant, de propriedade do Google.

Esquemas temáticos de recrutamento norte-coreanos têm sido amplamente utilizados para entregar malwares, incluindo aplicativos falsos de videoconferência, visando candidatos a empregos em plataformas como LinkedIn e Upwork. Após o primeiro contato, os hackers orientam as vítimas a baixar software malicioso por meio de aplicativos de mensagens como o Telegram.

Os pesquisadores da Mandiant explicaram que os recentes roubos em bolsas de criptomoedas estão ligados a um padrão mais amplo de engenharia social. Nestes esquemas, os desenvolvedores são contatados sob o pretexto de ofertas de emprego.

Eles apresentam um exemplo de um engenheiro que recebeu um arquivo ZIP contendo malware disfarçado de um desafio de codificação em Python, comprometendo o sistema macOS do usuário com malware secundário. Este malware persistiu através dos agentes de lançamento do macOS, colocando ainda mais em risco o sistema do usuário.

Essas táticas não são limitadas aos desenvolvedores. Profissionais de finanças também foram alvo. Em outro incidente, a Mandiant observou um PDF malicioso enviado como parte de uma falsa oferta de emprego para uma posição sênior em uma bolsa de criptomoedas.

O PDF instalou o RUSTBUCKET, um malware de backdoor que coleta dados do sistema e executa arquivos. Ele permaneceu ativo se passando por uma “Atualização do Safari” e conectou-se a um servidor de comando e controle.

De acordo com o FBI, esses tipos de ciberataques são cuidadosamente planejados. Hackers usam informações pessoais e constroem uma relação com as vítimas para tornar seus esquemas mais convincentes. Uma vez que o contato é estabelecido, os atacantes podem passar um tempo significativo interagindo com seus alvos para promover confiança.

Para mitigar esses riscos, o FBI sugere verificar as identidades de contato através de diferentes plataformas, evitar guardar informações da carteira de criptomoedas em dispositivos conectados à internet e usar máquinas virtuais para quaisquer testes pré-emprego. Eles também recomendam bloquear downloads não autorizados e limitar o acesso a informações sensíveis.

Se você suspeita que sua empresa foi alvo, o FBI aconselha a desconectar os dispositivos afetados da internet e a registrar uma reclamação detalhada no Centro de Reclamações de Crimes na Internet do FBI.