De acordo com a Kaspersky, os atacantes fazem parte de uma célula do conhecido grupo norte-coreano Lazarus. As operações detectadas, que tomam o nome GhostCall e GhostHire, que remontam pelo menos a abril deste ano, enquadram-se numa campanha maior, chamada SnatchCrypto.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Através delas, este grupo APT (Ameaça Persistente Avançada, em português) usa novas técnicas de infiltração e malware personalizado, tendo como alvo programadores na área da Blockchain e executivos, com ataques que afetam principalmente sistemas macOS e Windows.

A campanha GhostCall começa com esquemas de engenharia social sofisticados. Neles, os atacantes contactam as vítimas através do Telegram, fazendo-se passar por investidores de capital de risco, usando, em alguns casos, contas comprometidas de empresários e fundadores de startups para simular propostas de investimento ou colaboração

As vítimas são depois direcionadas para reuniões falsas através de páginas de phishing que imitam plataformas como o Zoom ou o Microsoft Teams. Perante uma suposta falha no áudio, as vítimas são levadas a fazer uma atualização para corrigir o problema, acabando por descarregar um script malicioso que abre a porta aos cibercriminosos.

Citado em comunicado, Sojun Ryu, investigador de cibersegurança na Kaspersky GReAT, explica que, nesta campanha, os atacantes “reproduziam vídeos de vítimas anteriores durante as reuniões falsas para dar realismo à chamada e manipular novos alvos”.

“As informações recolhidas são utilizadas não só contra a vítima inicial, mas também para ataques posteriores ou em cadeia, aproveitando relações de confiança já estabelecidas para comprometer outras organizações e utilizadores”, afirma o investigador.

Já na campanha GhostHire, os atacantes fazem-se passar por recrutadores para abordar programadores da área de blockchain. As vítimas são levadas a transferir um repositório GitHub infetado com malware, apresentado como um teste de avaliação técnica.

Segundo os investigadores da Kaspersky, o grupo BlueNoroff também utilizou IA generativa para agilizar o desenvolvimento de malware e aperfeiçoar as suas técnicas de ataque. Como detalha Omar Amin, investigador sénior de segurança na Kaspersky GReAT, a estratégia do grupo “evoluiu para além do roubo de criptomoedas ou credenciais de browser”.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.