Usuários de Mac são alvos de entrevistas de emprego falsas para disseminar nova variante de malware

Hackers norte-coreanos estão mais uma vez direcionando seus ataques a dispositivos Apple Mac, utilizando convites falsos para entrevistas de emprego como isca para disseminar um malware roubador de informações. O pesquisador de cibersegurança Patrick Wardle descobriu recentemente uma nova variante do BeaverTail, um malware conhecido por extrair informações sensíveis de navegadores web como Google Chrome, Brave e Opera, além de dados de criptomoedas, credenciais de login e detalhes do iCloud Keychain. O BeaverTail também atua como um dropper, implantando o backdoor InvisibleFerret para acesso remoto persistente.

O malware foi disfarçado sob o nome de arquivo “MiroTalk.dmg”, imitando o serviço de chamadas de vídeo MiroTalk. Arquivos DMG são imagens de disco do macOS, tornando essa uma camuflagem plausível para usuários de Mac.

"Grupo Astuto"

"Se eu tivesse que adivinhar, os hackers da DPRK provavelmente abordaram suas vítimas em potencial solicitando que participassem de uma reunião de contratação, baixando e executando a (versão infectada do) MiroTalk hospedada no mirotalk[.]net", explicou Wardle.

Esta não é a primeira vez que hackers norte-coreanos utilizam campanhas de emprego falsas. O grupo Lazarus já empregou essa tática em várias ocasiões, chegando a roubar cerca de 600 milhões de dólares de um projeto de ponte de criptomoedas após enganar um desenvolvedor dessa forma.

O que torna esta campanha interessante é que, anteriormente, o BeaverTail era distribuído por meio de pacotes npm maliciosos hospedados no GitHub e npm.

"Os hackers norte-coreanos são um grupo astuto e bastante habilidosos em hackear alvos no macOS, embora suas técnicas muitas vezes dependam de engenharia social (e, portanto, do ponto de vista técnico, sejam bastante pouco impressionantes)", comentou Wardle.