Encontrar um novo emprego é difícil, e é ainda mais complicado conseguir um que se adapte às suas habilidades, ambições e padrão de trabalho. Se você estiver na indústria de tecnologia, responder ao anúncio de emprego errado pode fazer com que você arrisque sua própria segurança e a de seus empregadores atuais, graças a aplicativos de código aberto hackeados que carregam o malware ZetaNile. Aqui está o que você precisa saber
Por que os candidatos a emprego estão em risco?
O grupo de hackers criminosos norte-coreanos patrocinado pelo Estado, Lazarus, tem como alvo trabalhadores nas áreas de tecnologia, defesa e entretenimento de mídia com ataques de spear phishing pelo Linkedin.
De acordo com Centro de Inteligência de Ameaças da Microsoft (MSTIC), os criminosos – também conhecidos como ZINC – se apresentam como recrutadores, alcançando indivíduos em setores-alvo e os incentivando a se candidatar a vagas abertas. Após um processo de recrutamento aparentemente normal, as conversas são retiradas da plataforma, antes que os recrutas sejam solicitados a baixar e instalar aplicativos populares de código aberto, como o
Cliente PuTTY SSH, o emulador de terminal KiTTY e TightVNC Viewer.Essas ferramentas de código aberto são comumente usadas no mundo da tecnologia e estão amplamente disponíveis on-line gratuitamente. cobram, mas as versões oferecidas pelo Lazarus pelo WhatsApp são hackeadas para facilitar a entrega de malware.
Os aplicativos são distribuídos como parte de um arquivo zip ou arquivo ISO e não contêm o malware. Em vez disso, o executável se conecta a um endereço IP especificado em um arquivo de texto que o acompanha, de onde o malware ZetaNile é baixado e instalado.
O Lazarus arma o formulário de emprego em todas as etapas, incluindo o próprio formulário de inscrição - os candidatos são incentivados a preencher o formulário usando uma versão subvertida do Sumatra PDF Reader.
O que é ZetaNile e o que ele faz?
Uma vez que o backdoor tenha sido recuperado de seu local remoto, uma tarefa agendada é criada, garantindo a persistência. Em seguida, ele copia um processo legítimo do sistema Windows e carrega DLLs maliciosas antes de se conectar a um domínio de comando e controle.
A partir deste ponto, um ser humano real está no controle de sua máquina (infelizmente, não é você). Eles podem identificar controladores de domínio e conexões de rede, bem como abrir documentos, fazer capturas de tela e exfiltrar seus dados. Os criminosos também podem instalar malware adicional no sistema de destino.
O que você deve fazer se suspeitar que tem malware ZetaNile?
É improvável que o candidato a emprego saiba que instalou malware em sua rede corporativa, mas o MSTIC forneceu algumas instruções úteis para os administradores de sistema e equipes de segurança que precisam juntar as peças e limpar o bagunça:
- Verifique a existência de Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, ou SecurePDF.exe em computadores.
- Remova o C:\ProgramData\Comms\colorui.dll, e %APPDATA%\KiTTY\mscoree.dll arquivos.
- Bloquear o acesso à rede para 172.93.201[.]253, 137.184.15[.]189, e 44.238.74[.]84. Esses IPs são codificados no malware.
- Revise todas as atividades de autenticação para infraestrutura de acesso remoto.
- Ativar autenticação multifator para todos os sistemas.
- Eduque os usuários sobre a prevenção de infecções por malware, bem como sobre a proteção de informações pessoais e comerciais.
Este último item é especialmente revelador, e o aforismo de que o elo mais fraco na cadeia de suprimentos de segurança é o usuário é verdadeiro por um motivo. Qualquer problema de software ou brecha de segurança pode ser consertado, mas é difícil impedir a pessoa por trás do teclado de instalar pacotes duvidosos - especialmente se ela for tentada por um novo emprego bem pago.
Para usuários que estão tentados a instalar um software incompleto em seu computador de trabalho: simplesmente não o faça. Em vez disso, peça à TI para fazer isso por você (eles avisarão se algo estiver errado) ou, se for absolutamente necessário, faça o download da fonte oficial.
Os criminosos estão sempre procurando uma maneira de entrar nas redes
Os segredos corporativos são valiosos e sempre há pessoas e grupos procurando uma maneira fácil de obtê-los. Ao visar os candidatos a emprego, eles podem quase garantir que a vítima inicial não envolverá a TI — ninguém quer ser visto se candidatando a novos empregos em seu computador de trabalho. Se estiver usando o equipamento de seu empregador, você deve usá-lo apenas para o trabalho. Guarde a procura de emprego para quando chegar em casa.
