Lazarus, um grupo de hackers patrocinado pelo Estado com sede na Coreia do Norte, agora está usando software de código aberto e criando empregos falsos para espalhar malware, diz a Microsoft.
O conhecido grupo de hackers tem como alvo muitos setores-chave da indústria, como tecnologia, entretenimento de mídia e defesa, e está usando muitos tipos diferentes de software para realizar esses ataques.
Da próxima vez que você receber uma mensagem no LinkedIn, tome cuidado. A Microsoft alerta que o grupo de ameaças baseado na Coreia do Norte tem usado ativamente software de código aberto infectado com trojans para atacar profissionais do setor. A Microsoft determinou que esses ataques de engenharia social começaram no final de abril e continuaram até pelo menos meados de setembro.
Lazarus, também conhecido como ZINC, Labyrinth Chollima e Black Artemis, é um grupo de hackers militares da Coreia do Norte patrocinado pelo Estado. Dizem que está ativo desde pelo menos 2009 e, desde então, é responsável por uma variedade de grandes ataques, incluindo phishing, campanhas de ransomware e muito mais.
O grupo vem criando perfis falsos de recrutadores no LinkedIn e abordando candidatos adequados com ofertas de emprego em empresas legítimas e existentes. “Os alvos receberam divulgação adaptada à sua profissão ou formação e foram incentivados a se candidatar a uma vaga aberta em uma das várias empresas legítimas”, disse a Microsoft.
Depois que as vítimas foram convencidas a transferir a conversa do LinkedIn para o WhatsApp, que oferece comunicação criptografada, os hackers passaram para a próxima etapa. Durante a conversa do WhatsApp, os alvos receberam software infectado que permitiu ao Lazarus implantar malware em seus sistemas.
O objetivo final dos hackers era conseguir roubar informações confidenciais ou obter acesso a redes valiosas. Além do malware – que foi encontrado em programas como PuTTY, KiTTY, TightVNC, muPDF/Subliminal Recording e Sumatra PDF Reader – os ataques também foram bem projetados no lado social das coisas, com perfis do LinkedIn e empresas escolhidas para corresponder à profissão da vítima.
Conforme observado pela Bleeping Computer, a ZINC também realizou ataques semelhantes usando personas falsas de mídia social para distribuir malware. Anteriormente, visava principalmente pesquisadores de segurança; desta vez, os ataques têm um alcance mais amplo.
Esses ataques parecem uma continuação da Operação Dream Job. A campanha, ativa desde 2020, focou em alvos dos setores de defesa e aeroespacial nos EUA e os atraiu com interessantes ofertas de trabalho, todas com o objetivo de realizar ciberespionagem. Lazarus também foi visto visando trabalhadores de criptomoedas e exchanges de criptomoedas no passado.
Como se proteger desses ataques? Tente manter suas conversas do LinkedIn na plataforma, se possível. Não aceite arquivos de pessoas que você não conhece e certifique-se de usar um bom software antivírus. Por fim, não tenha medo de entrar em contato com a empresa e verificar se a pessoa que está tentando enviar os arquivos realmente trabalha lá.
Recomendações dos editores