Um subgrupo da organização de hackers Lazarus, ligada à Coreia do Norte, criou três empresas de fachada, duas nos Estados Unidos, para entregar malware a usuários desavisados.

As três falsas empresas de consultoria em cripto — BlockNovas, Angeloper Agency e SoftGlide — estão sendo usadas pelo grupo de hackers norte-coreano Contagious Interview para distribuir malware por meio de entrevistas de emprego falsas, segundo analistas da empresa de segurança Silent Push em um relatório de 24 de abril.

Zach Edwards, analista sênior de ameaças da Silent Push, afirmou em uma declaração no X (Twitter) que duas das empresas de fachada estão registradas como negócios legítimos nos Estados Unidos.

“Esses sites e uma enorme rede de contas em sites de contratação/recrutamento estão sendo usados para enganar pessoas a se candidatarem a empregos”, disse ele.

“Durante o processo de candidatura, uma mensagem de erro é exibida quando alguém tenta gravar um vídeo de apresentação. A solução é um truque simples de clicar, copiar e colar — que leva ao malware, se o desenvolvedor desavisado completar o processo.”

Durante a entrevista de emprego falsa, uma mensagem de erro é exibida, exigindo que o usuário clique, copie e cole para corrigir — o que leva à infecção por malware. Fonte: Zach Edwards

Três tipos de malware — BeaverTail, InvisibleFerret e Otter Cookie — estão sendo usados, segundo a Silent Push.

O BeaverTail é um malware projetado principalmente para roubo de informações e para carregar estágios posteriores de infecção. OtterCookie e InvisibleFerret têm como alvo principal dados sensíveis, incluindo chaves de carteiras cripto e informações da área de transferência.

Os analistas da Silent Push disseram no relatório que os hackers usam sites de listagem de empregos como o GitHub e plataformas de freelancer para buscar vítimas, entre outros.

IA usada para criar funcionários falsos

O esquema também envolve o uso de imagens geradas por IA para criar perfis de funcionários nas três empresas falsas, além de roubo de imagens de pessoas reais.

“Há inúmeros funcionários falsos e imagens roubadas de pessoas reais sendo usadas nessa rede. Documentamos algumas das falsificações e imagens roubadas mais óbvias, mas é muito importante perceber que os esforços de personificação dessa campanha são diferentes”, disse Edwards.

“Em um dos exemplos, os agentes da ameaça pegaram uma foto real de uma pessoa real e aparentemente passaram por uma ferramenta de modificação de imagem por IA para criar uma versão sutilmente diferente da mesma imagem.”

Essa campanha de malware está ativa desde 2024. Edwards afirma que já há vítimas públicas conhecidas.

A Silent Push identificou dois desenvolvedores como alvos da campanha; um deles teria tido sua carteira MetaMask comprometida.

Desde então, o FBI fechou pelo menos uma das empresas.

“O Federal Bureau of Investigation (FBI) assumiu o domínio da BlockNovas, mas o site da SoftGlide ainda está ativo, junto com parte de sua infraestrutura”, afirmou Edwards.

Criptomoedas, Hackers, Coreia do Norte, Cibersegurança
Fonte: Zach Edwards

Pelo menos três fundadores de projetos cripto relataram em março que frustraram uma tentativa de supostos hackers norte-coreanos de roubar dados sensíveis por meio de chamadas falsas no Zoom.

Grupos como o Lazarus Group são os principais suspeitos em alguns dos maiores roubos cibernéticos do setor Web3, incluindo o hack de US$ 1,4 bilhão da Bybit e o hack de US$ 600 milhões na Ronin Network.