COVERTCATCH Malware
Os autores de ameaças norte-coreanos estão explorando o LinkedIn para atingir desenvolvedores por meio de esquemas falsos de recrutamento de empregos. Uma tática importante envolve usar testes de codificação como método de infecção inicial. Depois de envolver o alvo em um bate-papo, o invasor envia um arquivo ZIP disfarçado como um desafio de codificação Python, que na verdade contém o malware COVERTCATCH. Uma vez executado, esse malware inicia um ataque ao sistema macOS do alvo, baixando uma carga útil de segundo estágio para estabelecer persistência usando Launch Agents e Launch Daemons.
Índice
A Coreia do Norte Continua sendo um Grande Participante no Crime Cibernético
No entanto, este é apenas um exemplo entre vários grupos de atividades — como a Operação Emprego dos Sonhos e a Entrevista Contagiosa — realizadas por grupos de hackers norte-coreanos que usam iscas relacionadas ao trabalho para espalhar malware.
Táticas com tema de recrutamento também têm sido comumente usadas para implantar famílias de malware como RustBucket e KANDYKORN. No momento, não está claro se COVERTCATCH está relacionado a elas ou ao recém-descoberto TodoSwift.
Pesquisadores identificaram uma campanha de engenharia social onde um PDF corrompido foi disfarçado como uma descrição de cargo para um "VP de Finanças e Operações" em uma grande exchange de criptomoedas. Este PDF descartou um malware de segundo estágio chamado RustBucket, um backdoor baseado em Rust que suporta execução de arquivos.
O implante RustBucket pode coletar informações básicas do sistema, comunicar-se com uma URL específica e estabelecer persistência por meio de um Launch Agent que se disfarça como uma "Safari Update", permitindo que ele entre em contato com um domínio de Comando e Controle (C2) codificado.
Os Grupos de Hackers Norte-Coreanos Continuam a Evoluir
O foco da Coreia do Norte em organizações Web3 se estende além da engenharia social para incluir ataques à cadeia de suprimentos de software, como demonstrado por incidentes recentes envolvendo 3CX e JumpCloud. Uma vez que os invasores estabelecem acesso por meio de malware, eles se movem para gerenciadores de senhas para coletar credenciais, conduzir reconhecimento interno por meio de repositórios de código e documentação e se infiltrar em ambientes de hospedagem em nuvem para descobrir chaves de carteira quente e, finalmente, drenar fundos.
Essa revelação vem em conjunto com um alerta emitido pelo Federal Bureau of Investigation (FBI) dos EUA sobre agentes de ameaças norte-coreanos que têm como alvo o setor de criptomoedas com campanhas de engenharia social altamente especializadas e difíceis de detectar.
Esses esforços contínuos geralmente envolvem a personificação de firmas de recrutamento ou indivíduos familiares, oferecendo oportunidades de emprego ou investimento. Essas táticas servem como uma porta de entrada para assaltos audaciosos de criptomoedas com a intenção de gerar renda ilícita para a Coreia do Norte, que continua sob sanções internacionais.
Os Autores de Ameaças Usam Táticas Personalizadas para Infectar Alvos
As principais táticas usadas por esses autores incluem:
- Negócios relacionados com criptomoedas.
- A condução de uma pesquisa pré-operacional completa sobre suas vítimas antes de fazer contato.
- a criação de cenários falsos altamente personalizados para aumentar a probabilidade de sucesso.
Eles podem fazer referência a detalhes pessoais, como interesses, afiliações, eventos, relacionamentos ou conexões profissionais que a vítima pode pensar que são conhecidos apenas por alguns. Essa abordagem é projetada para construir rapport e, finalmente, entregar malware.
Se conseguirem estabelecer comunicação, o ator inicial ou outro membro da equipe pode investir um tempo significativo interagindo com a vítima para aumentar a aparência de legitimidade e promover um senso de familiaridade e confiança.
