0
0
Hackers supostamente ligados ao governo da Coreia do Norte também criaram contas de mídia social falsas para disseminar malware entre pesquisadores
Cibercriminosos supostamente ligados ao governo da Coreia do Norte criaram uma empresa de segurança e contas de mídia social falsas como parte de uma ampla campanha que visa disseminar malware entre pesquisadores de segurança cibernética, de acordo com o Google.
Os hackers estão usando contas falsas no LinkedIn, em que se fazem passar por recrutadores de empresas de software antivírus ou de cibersegurança, segundo o Google. Um dos recrutadores, chamado “Carter Edwards”, trabalha em uma empresa chamada “Trend Macro”. Alguém que esteja procurando por um novo emprego em segurança da informação pode confundir com a empresa de segurança Trend Micro.
A campanha também usa algumas contas do Twitter. A falsa empresa com sede na Turquia, que os hackers chamam de “SecuriElite”, afirma ser focada em segurança ofensiva, testes de penetração, avaliações de segurança de software e exploits e oferece vagas para pesquisadores do mundo todo. Os hackers montaram a empresa em março, disse o Google. A conta do Twitter que está vinculada à SecuriElite tuitou apenas uma vez e tem apenas um seguidor até o momento.
Não é a primeira vez que supostos headhunters norte-coreanos criam um site falso e contas de mídia social com o objetivo de obter a colaboração de pesquisadores de segurança e induzi-los a baixar malware.
O Google expôs uma iteração anterior da campanha, que apresentava um blog de segurança aparentemente legítimo e oportunidades para os alvos pesquisarem uma vulnerabilidade com os proprietários do blog. Os interessados que clicaram para acessar o blog foram infectados, mesmo aqueles que haviam corrigido e atualizado as versões do Windows 10 e do navegador Chrome, disse o Google.
A revelação de que os hackers criaram um novo braço da campanha nos últimos dias, no entanto, sugere que eles desejam expandir a campanha de disseminação de malware.
Embora o Google tenha dito que os hackers estão vinculados a uma entidade apoiada pelo governo norte-coreano, não menciona um grupo específico de invasores.
Até agora, os hackers não convenceram nenhum pesquisador a clicar no link com malware usando a SecuriElite, disse o Google. Mas o site oferece um link para sua chave pública PGP, que já era fornecido pela versão anterior da campanha para distribuir um exploit de navegador.
A campanha anterior, que teve como alvo vítimas no Twitter, LinkedIn, Telegram Discord e Keybase, também enviou e-mails para vítimas em potencial de outras redes sociais.
O Google disse que entrou em contato com o LinkedIn e o Twitter para aconselhar a remoção, principalmente das últimas contas de mídia social que a equipe descobriu. Ambas as plataformas de mídia social removeram as contas. “Nossos termos proíbem o uso do LinkedIn para qualquer atividade criminosa e buscamos ativamente sinais de atividade patrocinada por governos e agimos rapidamente contra os malfeitores na plataforma”, disse a empresa em um comunicado.
Segundo um porta-voz do Twitter, todas as contas apontadas pelo Google foram suspensas permanentemente por violar as regras da rede social. “Se pudermos atribuir de forma confiável qualquer atividade a atores apoiados por Estados-nação, divulgaremos essas contas e o conteúdo associado ao nosso arquivo de operações de informações”, disse.
Um dos grupos de hackers ligados ao governo da Coreia do Norte que alvejou pessoas que trabalhavam no setor de defesa de Israel com ofertas de emprego falsas no ano passado foi a gangue conhecida como Lazarus Group, como parte de uma campanha de espionagem mais ampla, de acordo com o Ministério da Defesa de Israel. Hackers norte-coreanos recentemente também alvejaram funcionários de empresas aeroespaciais e de defesa com documentos maliciosos do Microsoft Word, de acordo com pesquisadores da McAfee.
FONTE: CISO ADVISOR