Ciberatacantes norte-coreanos usam recrutamento falso para espalhar malware

De acordo com a Mandiant, os ciberataques do grupo norte-coreano, conhecido como UNC2970, têm como alvo colaboradores nos Estados Unidos, Reino Unido, Alemanha e Austrália.

O grupo utiliza e-mails e mensagens via WhatsApp, a fingir ser de recrutadores de grandes empresas, para enviar às vítimas um ficheiro protegido por senha. Segundo a empresa de cibersegurança do Google Cloud, o ficheiro contém um documento PDF aparentemente legítimo com uma oferta de emprego, mas requer a utilização de uma versão modificada do visualizador de documentos Sumatra PDF, que implanta um malware chamado BurnBook.

Os alvos incluem colaboradores de alto nível, o que sugere que o objetivo é obter acesso a informações sensíveis e confidenciais dentro dessas indústrias. A Mandiant revela que as descrições de emprego são reais, ajustadas para parecerem mais credíveis para os principais alvos, em setores críticos de infraestrutura, o que aumenta os riscos para as empresas afetadas.

Este malware também é responsável por lançar outros softwares maliciosos, como o backdoor MistPen, que permite aos cibercriminosos descarregar e executar ficheiros nos sistemas comprometidos.