Hackers da Coreia do Norte usam LinkedIn e criptomoedas para atrair vítimas

Pesquisadores do Jamf Threat Labs descobriram uma nova tática de cibercriminosos originários da Coreia do Norte. O grupo utiliza a rede social corporativa LinkedIn para atrair vítimas e convencer a pessoa a instalar um malware no computador.

A fraude começa quando um suposto recrutador de uma corretora de criptomoedas entra em contato com a vítima pelo LinkedIn. Normalmente, os alvos são desenvolvedores ou funcionários de empresas ligadas ao setor de finanças.

A pessoa diz ser da STON.fi, que de fato existe, tem um perfil que parece legítimo e tenta atrair apenas vítimas em potencial que tenham ligação com a temática de blockchain e topam um trabalho pontual. O problema é que a oferta é completamente falsa e se desenrola em uma invasão aos equipamentos do usuário.

Bom demais para ser verdade

Junto da oferta tentadora de emprego, os golpistas até fazerm uma pré-entrevista e solicitam um teste para os candidatos. É nessa etapa que as vítimas são levadas a fazer o download de um projeto falso do Visual Studio, o ambiente de desenvolvimento da Microsoft.

Na verdade, o que a vítima está baixando é o RustDoor, um malware desenvolvido para macOS que rouba informações da máquina e serve como porta de entrada para outras ameaças.

Considerada uma ação de engenharia social altamente sofisticada e difícil de detectar, a fraude é uma versão repaginada de golpes já detectados usando o RustDoor — que tem uma variação para Windows menos popular no setor de cibercrimes.

Esse golpe tem se notabilizado também por ter sido ligado às autoridades da Coreia do Norte, algo que ainda não foi comentado oficialmente pelo país asiático. Até o momento, a única recomendação do laboratório às empresas é alertar a equipe sobre ofertas via redes sociais que resultam no envio de arquivos.