Grupo cibercriminoso visa investigadores de segurança com falsas propostas de emprego

Os especialistas da Mandiant identificaram um grupo de cibercriminosos a visarem ativamente investigadores de segurança e meios de comunicação com propostas de emprego falsas na Europa e EUA. As ameaças pretendem implementar três famílias diferentes de malware no ambiente da vítima.

Através de técnicas de engenharia social, os cibercriminosos convencem as vítimas a conversarem com eles no WhatsApp. Tendo em vista estabelecer uma posição no ambiente corporativo da vítima, lançam uma playload de malware C++ chamada “PlankWalk” através do canal de comunicação. 

Os investigadores da Mandiant estão a acompanhar a campanha desde junho de 2022, e acreditam que o grupo – que denominaram UNC2970 – tenha origem na Coreia do Norte. Os atacantes foram vistos a utilizar malware anteriormente desconhecido, chamado Touchmove, Sideshow e Touchshift.

Os alvos anteriores do grupo eram empresas de tecnologia, meios de comunicação e entidades relacionadas com defesa. Acredita-se que os criminosos fingem ser recrutadores de emprego, aproximando-se dos alvos através do LinkedIn, com o processo a ser posteriormente conduzido por WhatsApp, através de um documento Word com macros maliciosos, alterado para corresponder às descrições de trabalho que estão a promover ao público-alvo.