Candidatos a empregos na área de criptomoedas na Índia enfrentam nova ameaça de malware de hackers ligados à Coreia do Norte

Hackers ligados ao estado norte-coreano estão mirando profissionais de criptomoedas na Índia com uma nova e altamente direcionada campanha de malware, de acordo com empresa de segurança cibernética Cisco Talos. Os atacantes, identificados como um grupo conhecido como Famosa Chollima, estão usando entrevistas de emprego falsas e sites fraudulentos de testes de habilidades para infectar os dispositivos dos usuários com um novo Trojan de acesso remoto (RAT) baseado em Python, denominado PylangGhost.

Esta operação, ativa desde meados de 2024, marca o capítulo mais recente nos esforços crescentes de espionagem de criptomoedas da Coreia do Norte. Pesquisadores da Cisco Talos revelaram que os invasores estão se passando por recrutadores de empresas de criptomoedas de alto perfil, como a Coinbase. Uniswap, Robinhood e Archblock. Seus principais alvos: engenheiros de software, profissionais de marketing e outros especialistas em blockchain e ativos digitais.

Atrativos de emprego e entrevistas falsas

A campanha começa com engenharia social. As vítimas são contatadas por supostos recrutadores e convidadas a visitar réplicas convincentes de páginas de empregos legítimas de empresas. Esses sites oferecem testes de avaliação de habilidades e solicitam informações confidenciais, como nomes completos, currículos, endereços de carteira e credenciais.

Os candidatos são então instruídos a habilitar o acesso à câmera e ao microfone para uma entrevista em vídeo. Durante essa fase, os falsos recrutadores pedem às vítimas que executem determinados comandos — disfarçados de instalação de drivers de vídeo — que acionam a instalação do PylangGhost malware.

A Cisco Talos confirmou que o RAT dá aos hackers controle remoto total dos sistemas infectados e é capaz de roubar credenciais e cookies de mais de 80 extensões de navegador. Isso inclui gerenciadores de senhas e carteiras de criptomoedas amplamente utilizados, como MetaMask, 1Password, NordPass, Phantom, TronLink e MultiverseX.

Malware avançado com acesso persistente

PylangGhost é uma evolução baseada em Python de uma ameaça previamente conhecida chamada Fantasma de Golang. A nova variante tem como alvo Sistemas Windows exclusivamente, e foi projetado para exfiltrar dados e manter acesso persistente às máquinas comprometidas. Os sistemas Linux, de acordo com a Cisco Talos, parecem estar ilesos nessa onda de ataques.

O malware pode executar uma ampla gama de comandos: captura de tela, coleta detalhes do sistema, gerencia arquivos e estabelece controle remoto contínuo. Ele opera por meio de vários servidores de comando e controle registrados em domínios aparentemente confiáveis, como quickcamfix.online or autodriverfix.online.

Ao contrário de golpes anteriores, esta campanha não se concentra em phishing em massa ou roubo direto de corretoras. Em vez disso, é um ataque cirúrgico direcionado a profissionais do setor de criptomoedas, aqueles com acesso a infraestrutura essencial, ferramentas internas e dados confidenciais.

Índia: um alvo de alto valor

A Índia, um dos polos de desenvolvimento de blockchain que mais cresce, tornou-se um alvo prioritário. Muitos profissionais que trabalham em plataformas globais de criptomoedas estão baseados no país, e essa nova estratégia contribui diretamente para essa concentração de talentos.

De acordo com as Dileep Kumar HV, diretor da Digital South Trust, a Índia precisa de reformas urgentes para lidar com esse tipo de ameaça. Ele pediu auditorias obrigatórias de segurança cibernética para empresas de blockchain, monitoramento aprimorado de portais de empregos falsos e reformas legais sob a Lei de TI da Índia.

Descubra projetos promissores...

Projetos promissores...

(Propaganda)

O artigo continua...

Ele também instou agências governamentais como CERT-In, MEIDADE e NCIIPC para intensificar a colaboração e lançar campanhas de conscientização pública, bem como compartilhar informações com outras jurisdições.

Um padrão crescente de espionagem digital

Ofertas de emprego falsas tornaram-se uma ferramenta consistente nos manuais cibernéticos da Coreia do Norte. Grupo Lazarus, outro coletivo de hackers ligado à Coreia do Norte, usou uma tática semelhante no início de 2024. Eles criado empresas falsas sediadas nos EUA como BlockNovas LLC e  SoftGlide LLC para atrair desenvolvedores de criptomoedas para entrevistas repletas de malware.

Em um incidente, hackers do Lazarus se passaram por ex-contratados para invadir a Radiant Capital, resultando em um prejuízo de US$ 50 milhões. Uma declaração conjunta do Japão, Coreia do Sul e EUA confirmou recentemente que Grupos ligados à Coreia do Norte roubaram US$ 659 milhões em criptomoedas no 2024 sozinho.

Essas campanhas não visam apenas roubo. Elas visam cada vez mais coletar informações e se infiltrar em empresas de criptomoedas por dentro. O objetivo final parece ser tanto o ganho financeiro quanto o controle estratégico sobre sistemas e dados de blockchain.

Contramedidas e o caminho a seguir

O relatório da Cisco Talos é um alerta para os profissionais do setor de criptomoedas. A empresa recomenda maior vigilância durante o processo de busca de emprego, especialmente ao interagir com novas plataformas, recrutadores desconhecidos ou URLs desconhecidas.

Os profissionais são aconselhados a:

• Evite instalar software ou executar comandos durante entrevistas de emprego.
• Verifique a legitimidade das empresas e dos recrutadores.
• Use ferramentas de proteção de endpoint e antimalware.
• Atualize regularmente as senhas e habilite a autenticação de dois fatores.

As empresas também devem reforçar os controles internos e garantir que a equipe seja treinada para detectar e denunciar tentativas de engenharia social.