Nos últimos meses, hackers Coreia do Norte têm mostrado uma notável evolução em suas estratégias de ciberataque. Tradicionalmente focados em desenvolvedores de software e infraestrutura tecnológica, esses agentes de ameaça da RPDC estão expandindo seus alvos para incluir profissionais de marketing, vendas e negociação no setor de criptomoedas. Essa mudança evidencia uma sofisticação crescente no planejamento das campanhas, combinando engenharia social e ferramentas de malware avançadas para maximizar o impacto financeiro.
Pesquisadores de segurança identificaram uma campanha em que os cibercriminosos norte-coreanos utilizam a tática ClickFix para induzir vítimas a instalar o malware BeaverTail. Essa abordagem não apenas diversifica os alvos, mas também amplia o alcance dos ataques, pois profissionais fora da área de TI podem estar menos preparados para detectar ameaças sofisticadas. Com o aumento de ataques direcionados ao setor de criptomoedas e varejo, a conscientização sobre essas técnicas se torna essencial.
O objetivo deste artigo é detalhar a operação dos hackers da Coreia do Norte, explicando como funciona o ClickFix, quais são os malwares utilizados, e como empresas e indivíduos podem se proteger. A mudança tática identificada representa um alerta para todos os profissionais, independentemente de sua familiaridade com tecnologia.
O que é a tática ClickFix e o malware BeaverTail?
Desmistificando o ClickFix
A tática ClickFix é uma forma de engenharia social que explora a confiança do usuário em situações cotidianas, como acessos a websites ou processos de recrutamento. Em linhas gerais, consiste em apresentar falsas páginas de verificação, mensagens de erro técnico ou CAPTCHAs fraudulentos, induzindo a vítima a executar comandos maliciosos em seu computador.
Essa técnica é eficiente porque combina urgência e autoridade, fazendo com que usuários fora do perfil técnico, como profissionais de marketing e vendas, sejam mais suscetíveis a clicar em links ou baixar arquivos perigosos.
Conhecendo o arsenal: BeaverTail e InvisibleFerret
O malware BeaverTail atua como um ladrão de informações em JavaScript, capaz de capturar credenciais, cookies de navegadores e dados sensíveis. Além disso, funciona como um downloader, permitindo que outros malwares sejam instalados no sistema da vítima.
Já o InvisibleFerret é um backdoor avançado em Python, oferecendo acesso remoto completo ao sistema comprometido. Ele permite que os cibercriminosos executem comandos, coletem dados e monitorem atividades, sendo particularmente perigoso para ambientes corporativos e carteiras de criptomoedas.
A nova onda de ataques: o que mudou?
Uma mudança de alvo estratégica
Historicamente, o foco dos ataques da Coreia do Norte eram desenvolvedores, equipes de infraestrutura e empresas de tecnologia. Agora, os hackers da RPDC estão mirando profissionais de marketing, vendas e negociação, setores que podem ter menos preparo técnico e lidar diretamente com informações financeiras valiosas, como transações de criptomoedas.
Essa mudança é estratégica: ao explorar a falta de familiaridade com segurança cibernética, os cibercriminosos aumentam significativamente suas chances de sucesso, alcançando um público mais amplo e diversificado.
Malware para todos os sistemas
O BeaverTail foi adaptado para ser distribuído como binário compilado para Windows, macOS e Linux, o que amplia drasticamente o alcance da campanha. Essa versatilidade garante que praticamente qualquer profissional, independentemente do sistema operacional que utilize, possa ser vítima da ameaça.
O golpe da vaga de emprego
Uma das táticas mais recentes envolve sites falsos de recrutamento que anunciam vagas em empresas do setor Web3. Os candidatos são convidados a realizar uma suposta avaliação em vídeo, que na realidade exige a instalação do malware. Ao aceitar, a vítima compromete seu sistema e fornece acesso direto a dados sensíveis e credenciais financeiras.
Como se proteger contra golpes de engenharia social como o ClickFix
Sinais de alerta em processos seletivos
- Solicitação para desativar antivírus ou firewall.
- Pedidos para executar comandos desconhecidos no terminal ou prompt de comando.
- Downloads de softwares de fontes não oficiais durante entrevistas ou testes.
- Pressão para concluir tarefas rapidamente, sem validação externa.
Boas práticas para equipes e indivíduos
- Verificar autenticidade de vagas e recrutadores em canais oficiais.
- Desconfiar de erros técnicos que exijam execução de scripts ou comandos inusitados.
- Manter sistemas e navegadores atualizados com patches de segurança.
- Usar senhas fortes e autenticação de dois fatores, especialmente em carteiras de criptomoedas.
- Educar equipes sobre engenharia social e golpes direcionados.
Conclusão: a constante evolução das ciberameaças
Os hackers Coreia do Norte continuam a refinar suas técnicas, desenvolvendo ferramentas cada vez mais sofisticadas e ampliando a diversidade de seus alvos. A transição do foco em desenvolvedores para profissionais de marketing, vendas e negociação evidencia que nenhuma função está completamente imune a ataques cibernéticos.
A vigilância constante e a educação sobre engenharia social e malwares são fundamentais para reduzir riscos. Compartilhar conhecimento e alertar colegas, especialmente aqueles em áreas não-técnicas, é uma medida preventiva essencial. Afinal, a próxima evolução tática pode surgir a qualquer momento, e estar preparado é a melhor defesa.
