O Lazarus Group, um grupo de hackers vinculado à Coreia do Norte, evoluiu suas táticas para atacar candidatos a emprego no setor de criptomoedas, particularmente dentro das finanças centralizadas (CeFi), utilizando um método chamado 'ClickFix'. Essa nova abordagem é uma adaptação de sua campanha anterior 'Contagious Interview', agora focando em funções não técnicas como marketing e desenvolvimento de negócios, fazendo-se passar por grandes empresas de cripto. O grupo cria portais de aplicação de emprego falsos para atrair candidatos, levando-os a executar comandos PowerShell sob o pretexto de solução de problemas, o que baixa malware. Essa tática explora as aspirações profissionais de indivíduos no mercado de trabalho cripto. Além disso, o FBI atribuiu um ataque de $1,5 bilhão à Bybit ao Lazarus, onde ofertas de emprego falsas foram usadas para instalar malware nos computadores da equipe.

SEKOIA

Um recente relatório de cibersegurança da Sekoia revelou uma ameaça em evolução representada pelo Lazarus Group, o infame grupo de hackers ligado à Coreia do Norte. Agora, ele está utilizando uma tática conhecida como “ClickFix” para direcionar seus ataques a candidatos a empregos no setor de criptomoedas, particularmente dentro das finanças centralizadas (CeFi).Essa abordagem marca uma adaptação da campanha anterior “Contagious Interview” do grupo, que anteriormente visava desenvolvedores e engenheiros em funções relacionadas à inteligência artificial e criptomoedas.<h2>Lazarus Explora Contratações em Cripto</h2>Na campanha recentemente observada, o Lazarus mudou seu foco para profissionais não técnicos, como pessoal de marketing e desenvolvimento de negócios, ao se passar por grandes empresas de cripto como Coinbase, KuCoin, Kraken e até mesmo o emissor de stablecoin Tether.Os atacantes constroem sites fraudulentos que imitam portais de candidatura a empregos e atraem candidatos com convites de entrevistas falsos. Esses sites geralmente incluem formulários de candidatura realistas e até pedidos para introduções em vídeo, criando uma sensação de legitimidade.No entanto, quando um usuário tenta gravar um vídeo, ele recebe uma mensagem de erro fabricada, que geralmente sugere uma falha na webcam ou no driver. A página então solicita que o usuário execute comandos do PowerShell sob o pretexto de solução de problemas, desencadeando assim o download de malware.Esse método ClickFix, embora relativamente novo, está se tornando mais prevalente devido à sua simplicidade psicológica – já que os usuários acreditam que estão resolvendo um problema técnico, e não executando um código malicioso. De acordo com a Sekoia, a campanha se baseia em materiais de 184 convites de entrevistas falsos, referenciando pelo menos 14 empresas proeminentes para aumentar a credibilidade.Dessa forma, a tática mais recente demonstra a crescente sofisticação do Lazarus em engenharia social e sua capacidade de explorar as aspirações profissionais de indivíduos no competitivo mercado de trabalho cripto. Curiosamente, essa mudança também sugere que o grupo está expandindo seus critérios de alvo, visando não apenas aqueles com acesso a código ou infraestrutura, mas também aqueles que podem lidar com dados internos sensíveis ou estar em uma posição de facilitar brechas inadvertidamente.Apesar do surgimento do ClickFix, a Sekoia relatou que a campanha original Contagious Interview continua ativa. Essa implementação paralela de estratégias sugere que o coletivo patrocinado pelo estado da Coreia do Norte pode estar testando sua eficácia relativa ou adaptando táticas a diferentes demografias-alvo. Em ambos os casos, as campanhas compartilham um objetivo consistente – entregar malware que rouba informações através de canais confiáveis e manipular as vítimas para a auto-infecção.<h2>Lazarus por trás do Hack da Bybit</h2>O Federal Bureau of Investigation (FBI) atribuiu oficialmente o ataque de $1,5 bilhão à Bybit ao Lazarus Group. Hackers que visavam a bolsa de criptomoedas usaram ofertas de emprego falsas para enganar a equipe a instalar um software de negociação contaminado conhecido como “TraderTraitor.”Embora elaborado para parecer autêntico através do desenvolvimento cross-platform em JavaScript e Node.js, os aplicativos embutidos continham malware projetado para roubar chaves privadas e executar transações ilícitas na blockchain.

O Grupo Lazarus mira os candidatos a emprego de CeFi com malware 'ClickFix'