Conduzida pelo grupo Lazarus, da Coreia do Norte, a campanha distribui malware de ciberespionagem e foi lançada “do Brasil”, segundo pesquisadores

A Ameaça Persistente Avançada (APT) norte-coreana e conhecida como Lazarus está usando truques antigos em uma campanha de ciberespionagem direcionada a engenheiros de sofware. Ela se apoia em uma postagem de emprego falsa, que tenta espalhar malware para usuários de macOS. O executável malicioso tem como alvo os sistemas baseados em chip da Apple e da Intel.

A campanha, identificada por pesquisadores do ESET Research Labs e revelada em uma série de tweets postados em agosto de 2022, se passa pela Coinbase, comerciante de criptomoedas, para oferecer uma vaga falsa de “Gerente de Engenharia para Segurança de Produtos”, de acordo com as informações divulgadas.

Apelidada de Operation In(ter)ception, a campanha foi hospedada no VirusTotal e teria suposta origem no Brasil, escreveram eles, mas é altamente provável que os criminosos estejam mascarando sua localização real.

“O malware é compilado para Intel e Apple Silicon”, diz um dos tweets. “Ele descarrega três arquivos no dispositivo do usuário: um documento PDF Coinbase_online_careers_2022_07.pdf, um pacote http[://]FinderFontsUpdater[.]app e um downloader safarifontagent.”

Semelhanças com outra amostra de malware

O malware é semelhante a uma amostra descoberta pela ESET em maio, que também incluiu um executável assinado disfarçado de vaga de emprego, foi compilado para Apple e Intel e lançou um chamariz em PDF, disseram os pesquisadores.

No entanto, o malware mais recente data de 21 de julho, de acordo com seu carimbo de data/hora, o que significa que ou é uma amemaça nova, ou uma variante do malware anterior. Ele usa um certificado emitido em fevereiro de 2022 para um desenvolvedor chamado Shankey Nohria e que foi revogado pela Apple em 12 de agosto, disseram pesquisadores. O aplicativo em si não foi autenticado.

O Operation In(ter)ception também tem uma versão complementar desse mesmo malware para Windows, lançando o mesmo PDF e detectado em 4 de agosto pela Malwarebytes, de acordo com a ESET.

O malware usado na campanha também se conecta a uma infraestrutura de comando e controle (C2) diferente do malware descoberto em maio, que não respondeu quando pesquisadores tentaram se conectar a ele.

Lazarus continua à solta e oferece riscos a empresas

O Lazarus é conhecido como uma das APTs mais prolíficas que existem e já está na mira das autoridades internacionais, tendo sido sancionado em 2019 pelo governo dos EUA.

O grupo é conhecido por visar acadêmicos, jornalistas e profissionais de várias indústrias – particularmente a indústria de defesa – para reunir inteligência e apoio financeiro para o regime de Kim Jong-un. Muitas vezes, ele usa estratégias de representação semelhantes ao observado na campanha mais recente para tentar fazer com que as vítimas mordam a isca do malware.

Uma campanha anterior, identificada em janeiro deste ano, também tinha como alvo engenheiros em busca de emprego, lançando falsas oportunidades eles em uma campanha de spear phishing. Os ataques usaram o Windows Update e o GitHub como um servidor C2.

Enquanto isso, uma campanha semelhante descoberta no ano passado teve Lazarus se passando por empreiteiros de defesa da Boeing e da General Motors e alegando procurar candidatos a emprego apenas para divulgar documentos maliciosos.

Mudanças estratégicas

No entanto, mais recentemente, Lazarus diversificou suas táticas, com as forças de segurança federais dos EUA revelando que o grupo também foi responsável por vários roubos de criptomoedas com o objetivo de financiar o regime norte-coreano.

Relacionado a essa atividade, o governo dos EUA impôs sanções contra o serviço de mixagem de criptomoedas Tornado Cash por ajudar o Lazarus a lavar dinheiro.

Globalmente, a ameaça riscos de roubo de informação, comprometimento de redes e sistemas e até mesmo sequestro de dados.

Para manter sua empresa segura, conheça as soluções da Compugraf. Nós podemos te ajudar!