Grupos de cibercriminosos ligados ao regime da Coreia do Norte estão inovando suas táticas ao usar empresas fictícias no setor de criptomoedas para disseminar malware durante falsas entrevistas de emprego. A prática, parte da campanha batizada de Entrevista Contagiosa, visa principalmente profissionais da área de tecnologia.
Golpe digital: hackers norte-coreanos espalham malware com falsas vagas em criptomoedas
Empresas falsas como fachada para ataques
Três empresas fictícias — BlockNovas LLC, Angeloper Agency e SoftGlide LLC — estão sendo usadas como fachada para atrair vítimas por meio de supostos processos seletivos. Durante essas falsas entrevistas, os alvos são induzidos a baixar arquivos maliciosos, muitas vezes disfarçados de tarefas técnicas ou correções para falhas no navegador.
De acordo com uma análise da Silent Push, a campanha distribui ao menos três tipos de malware: BeaverTail, InvisibleFerret e OtterCookie. Esses códigos maliciosos afetam diferentes sistemas operacionais (Windows, Linux e macOS) e visam instalar backdoors, roubar dados e comprometer carteiras digitais.
Expansão das táticas de engenharia social
Os hackers têm se valido de uma abordagem multicanal, criando perfis falsos em redes como LinkedIn, Facebook, GitHub e Medium, além de utilizar painéis de vagas online para divulgar as supostas oportunidades de trabalho. Um exemplo disso é a página da BlockNovas, que alega operar há mais de 12 anos, apesar de seu domínio ter sido registrado recentemente.
Além disso, vídeos de avaliação são utilizados como pretexto para entregar malwares como FROSTYFERRET e GolangGhost, disfarçados como ferramentas de análise de erros técnicos, numa campanha paralela chamada ClickFake Interview.
Arquitetura do ataque: de JavaScript a backdoors remotos
O malware BeaverTail funciona como vetor inicial, sendo capaz de iniciar um shell reverso, coletar dados do sistema e baixar o software de acesso remoto AnyDesk. Ele se conecta a servidores como lianxinxiao[.]com para receber comandos e instalar o backdoor InvisibleFerret.
Em alguns casos, a cadeia de infecção também entrega o OtterCookie, aproveitando o mesmo carregador em JavaScript. A infraestrutura por trás da campanha inclui um “Painel de Status” hospedado em subdomínios da BlockNovas, e até ferramentas como o Hashtopolis, voltado para quebra de senhas.
Notícias Relacionadas
Segurança digital
Spyware disfarçado de Alpine Quest infecta Androids de militares russos
Especialistas em segurança digital identificaram uma sofisticada operação de espionagem cibernética que tem como alvo militares russos por meio de um spyware disfarçado como o aplicativo de mapeamento Alpine Quest. A campanha, que modifica versões antigas do app legítimo, explora a popularidade da ferramenta entre os usuários que atuam em zonas de conflito, especialmente na […]
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Alvo: blockchain Sui e carteiras digitais
Outro domínio malicioso identificado, attisscmo[.]com, abriga a ferramenta Kryptoneer, usada para interagir com carteiras como Suiet Wallet e Ethos Wallet. Aparentemente, os hackers estão tentando explorar vulnerabilidades específicas no ecossistema do blockchain Sui.
Em um caso documentado, um desenvolvedor teve sua carteira MetaMask comprometida após participar de uma dessas entrevistas falsas, reforçando os riscos da engenharia social associada à segurança cripto.
Uso de IA e redes russas para esconder rastros
Os criminosos também utilizam ferramentas de inteligência artificial, como o Remaker, para gerar fotos de perfil verossímeis para suas identidades falsas. Essas imagens são usadas em perfis falsos com currículos convincentes, o que aumenta a eficácia dos golpes.
Os ataques são frequentemente originados de faixas de IP russas, mascaradas por VPNs comerciais, proxies e servidores VPS com RDP. A infraestrutura usada foi vinculada a empresas nas regiões russas de Khasan e Khabarovsk, próximas à fronteira com a Coreia do Norte, sugerindo possível cooperação logística entre os países.
Wagemole: o outro lado da moeda
Paralelamente à Entrevista Contagiosa, outra tática chamada Wagemole foca na inserção de trabalhadores norte-coreanos em empresas internacionais de forma remota. Usando IA para criar identidades falsas, eles são contratados como funcionários legítimos e parte dos salários é desviada para financiar o regime norte-coreano.
Com o apoio de ferramentas GenAI, esses profissionais conseguem gerenciar entrevistas, traduzir conversas em tempo real e até responder automaticamente a mensagens de recrutadores, mantendo a farsa ativa por longos períodos.
Conclusão: a nova era dos ciberataques
A campanha envolvendo falsas entrevistas de emprego representa uma evolução significativa nas estratégias de espionagem e fraude digital utilizadas por hackers patrocinados pelo Estado norte-coreano. Ao combinar engenharia social, IA e disfarces corporativos, eles conseguem driblar defesas tradicionais e atingir alvos estratégicos no setor de tecnologia e finanças.
