Published on

Hackers da Coreia do Norte usam ClickFix em golpes cripto

Authors

Hackers da Coreia do Norte usam ClickFix para entregar malware BeaverTail em golpes de emprego em criptomoedas

Hackers ligados à Coreia do Norte (DPRK) estão utilizando táticas de engenharia social ClickFix para distribuir o malware BeaverTail e InvisibleFerret, visando profissionais de marketing e trading do setor de criptomoedas.

Principais pontos da campanha

  • Nova estratégia de targeting: Ao invés de focar em desenvolvedores de software (alvo tradicional), os atacantes estão mirando funções de marketing e trading em empresas de criptomoedas e varejo
  • Técnica ClickFix: Os usuários são redirecionados para uma plataforma de contratação falsa onde recebem instruções para executar comandos maliciosos sob pretexto de resolver supostos erros técnicos
  • Variação simplificada: Esta versão do BeaverTail tem funcionalidades reduzidas, visando apenas 8 extensões de navegador (em vez das 22 usuais) e removendo capacidades de roubo de dados de outros navegadores além do Chrome

Contexto operacional

A campanha "Contagious Interview" (também conhecida como Gwisin Gang) é atribuída ao grupo Lazarus e está ativa desde pelo menos dezembro de 2022. Investigações recentes indicam que pelo menos 230 pessoas foram alvo desses golpes de emprego falsos entre janeiro e março de 2025.

Evolução das táticas

Os atacantes estão refinando continuamente suas cadeias de ataque, incluindo:

  • Uso de arquivos protegidos por senha para entrega de payloads
  • Monitoramento de plataformas de inteligência de ameaças para avaliar nova infraestrutura
  • Foco em substituir rapidamente infraestrutura comprometida rather than melhorar a segurança existente

Campanhas paralelas

O relatório também destaca atividades de outros grupos norte-coreanos:

  • ScarCruft (APT37): Expandindo para atividades com motivação financeira, incluindo ransomware personalizado VCD
  • Kimsuky (APT43): Abusando de repositórios GitHub para exfiltração de dados e usando deepfakes gerados por ChatGPT em campanhas de spear-phishing

Esta evolução demonstra uma adaptação operacional significativa dos grupos norte-coreanos, expandindo para novos alvos e setores enquanto refinam continuamente suas técnicas de entrega e evasão.