ESET descobre atividades maliciosas ligadas à Coreia do Norte que têm como alvo programadores freelance

 ESET descobre atividades maliciosas ligadas à Coreia do Norte que têm como alvo programadores freelance

Desde 2024, os investigadores da ESET observaram uma série de atividades maliciosas alinhadas com a Coreia do Norte, em que os operadores, fazendo-se passar por recrutadores de desenvolvimento de software, atraem as vítimas com falsas ofertas de emprego. Posteriormente, tentam servir os seus alvos com projetos de software que escondem malware que rouba dados (infostealers).

A ESET Research chama a este cluster de atividade DeceptiveDevelopment. Esta atividade alinhada com a Coreia do Norte não é atualmente atribuída pela ESET a nenhum agente de ameaça conhecido. Tem como alvo os programadores de software freelance por meio de spearphishing em sites de procura de emprego e de freelancing, com o objetivo de roubar carteiras de criptomoedas e dados de login de browsers e gestores de passwords.

"Como parte de um falso processo de entrevista de emprego, os operadores do DeceptiveDevelopment pedem aos seus alvos que façam um teste de programação, tal como adicionar uma funcionalidade a um projeto existente, com os ficheiros necessários para a tarefa normalmente alojados em repositórios privados no GitHub ou noutras plataformas semelhantes. Infelizmente para o ansioso candidato ao emprego, estes ficheiros estão trojanizados: a partir do momento em que o projeto é descarregado e executado, o computador da vítima fica comprometido", explica o investigador da ESET Matěj Havránek, que fez a descoberta e analisou o DeceptiveDevelopment.

As táticas, técnicas e procedimentos do DeceptiveDevelopment são semelhantes a várias outras operações conhecidas alinhadas com a Coreia do Norte. Os operadores por detrás do DeceptiveDevelopment têm como alvo programadores de software para Windows, Linux e macOS. Roubam criptomoedas principalmente para obter ganhos financeiros, com um possível objetivo secundário de ciberespionagem. Para abordar os seus alvos, estes operadores utilizam perfis falsos de recrutadores nas redes sociais. Os atacantes não fazem distinção com base na localização geográfica, em vez disso tentando comprometer o maior número possível de vítimas para aumentar a probabilidade de extrair fundos e dados com sucesso.

O DeceptiveDevelopment utiliza principalmente duas famílias de malware como parte das suas atividades, distribuídas em duas fases. Na primeira fase, o BeaverTail (infostealer e downloader) atua como um simples ladrão de logins, extraindo bases de dados do navegador que contêm logins guardados, e como um downloader para a segunda fase, o InvisibleFerret (infostealer e trojan de acesso remoto), que inclui spyware e componentes de backdoor, e também é capaz de descarregar o software legítimo de gestão e monitorização remota AnyDesk para atividades maliciosas.

Para se fazerem passar por recrutadores, os atacantes copiam perfis de pessoas existentes ou até constroem novas personas. Em seguida, abordam diretamente as suas potenciais vítimas em plataformas de procura de emprego e de freelancing, ou publicam anúncios de emprego falsos. Enquanto alguns destes perfis são criados pelos próprios atacantes, outros são perfis potencialmente comprometidos de pessoas reais na plataforma, modificados pelos atacantes.

Algumas das plataformas onde estas interações ocorrem são plataformas genéricas de procura de emprego, enquanto outras se centram principalmente em projetos de criptomoedas e blockchain e estão, portanto, mais em linha com os objetivos dos atacantes. As plataformas incluem LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight e Crypto Jobs List.

As vítimas recebem os ficheiros do projeto diretamente através de transferência de ficheiros no site ou através de uma ligação a um repositório como o GitHub, o GitLab ou o Bitbucket. É-lhes pedido que descarreguem os ficheiros, adicionem funcionalidades ou corrijam bugs e comuniquem o resultado ao recrutador. Além disso, são instruídos a construir e executar o projeto para o testar, que é onde ocorre o compromisso inicial. Os atacantes utilizam frequentemente um truque inteligente para esconder o seu código malicioso: colocam-no num componente benigno do projeto, normalmente num código backend não relacionado com a tarefa dada ao programador, onde o anexam como uma única linha atrás de um longo comentário. Desta forma, o código é movido para fora do ecrã e permanece praticamente oculto.

“O cluster DeceptiveDevelopment é uma adição a uma já grande coleção de esquemas de fazer dinheiro empregues por cibercriminosos alinhados com a Coreia do Norte e está em conformidade com uma tendência atual de mudança de foco do dinheiro tradicional para as criptomoedas”, conclui Havránek.