A ESET divulgou novas descobertas sobre o DeceptiveDevelopment, também conhecido como Contagious Interview, um grupo de ameaças alinhado com a Coreia do Norte que se tem tornado cada vez mais ativo nos últimos anos. O grupo concentra-se principalmente no roubo de criptomoedas, visando desenvolvedores freelancers nas plataformas Windows, Linux e macOS.
Estas campanhas dependem fortemente de táticas sofisticadas de engenharia social, incluindo entrevistas de emprego falsas e a técnica ClickFix, para distribuir malware e roubar criptomoedas. A ESET também analisou dados de inteligência de código aberto (OSINT) que esclarecem as operações de trabalhadores de TI norte-coreanos envolvidos em esquemas de emprego fraudulentos e as suas ligações com o DeceptiveDevelopment. Essas descobertas estão a ser apresentadas hoje na conferência anual Virus Bulletin (VB).
O DeceptiveDevelopment é um grupo alinhado com a Coreia do Norte, ativo desde pelo menos 2023, focado em ganhos financeiros. O grupo tem como alvo desenvolvedores de software em todos os principais sistemas – Windows, Linux e macOS – e especialmente aqueles em projetos de criptomoedas e Web3. O acesso inicial é obtido exclusivamente através de várias técnicas de engenharia social, como o ClickFix, e perfis falsos de recrutadores semelhantes à Operação DreamJob do Lazarus, para entregar bases de código com trojans durante entrevistas de emprego encenadas. As suas cargas mais comuns são os infostealers BeaverTail, OtterCookie e WeaselStore, e o RAT modular InvisibleFerret.
“Os operadores do DeceptiveDevelopment utilizam perfis falsos de recrutadores nas redes sociais, de forma semelhante à Operação DreamJob do Lazarus. No entanto, neste caso, eles contactaram especificamente programadores de software, muitas vezes envolvidos em projetos de criptomoedas, fornecendo às vítimas potenciais bases de código com trojans que implementam backdoors como parte de um falso processo de entrevista de emprego”, afirma Peter Kálnai, um dos coautores do artigo de investigação.
“Os indivíduos por trás de todas estas atividades trocam sofisticação técnica de ponta por uma ampla escala de operações e engenharia social altamente criativa. O malware deles é, na sua maioria, simples, mas eles conseguem atrair até mesmo alvos com conhecimento técnico”, acrescenta Kálnai.
Os atacantes optaram por vários métodos para comprometer os utilizadores, recorrendo a truques inteligentes de engenharia social. Através de perfis falsos e roubados, eles fazem-se passar por recrutadores em plataformas como o LinkedIn, Upwork, Freelancer.com e Crypto Jobs List. Oferecem oportunidades de emprego lucrativas falsas para atrair o interesse do seu alvo. As vítimas são solicitadas a participar num desafio de programação ou numa tarefa pré-entrevista.
Além das contas falsas de recrutadores, os atacantes personalizaram e aprimoraram o método de engenharia social chamado ClickFix. As vítimas são atraídas para um site falso de entrevistas de emprego e solicitadas a preencher um formulário de candidatura detalhado, investindo tempo e esforço significativos. Na etapa final, elas são solicitadas a gravar uma resposta em vídeo, mas o site exibe um erro de câmara e oferece um link “Como corrigir”. Esse link instrui os utilizadores a abrir um terminal e copiar um comando que deve resolver o problema da câmara ou do microfone, mas que, em vez de corrigir o problema, descarrega e executa malware.
Embora a investigação sobre o DeceptiveDevelopment se baseie principalmente em dados da telemetria da ESET e na engenharia reversa do conjunto de ferramentas do grupo, é interessante destacar as suas ligações com operações fraudulentas realizadas por trabalhadores de TI norte-coreanos. De acordo com um cartaz “Most Wanted” do FBI, a campanha dos trabalhadores de TI está em curso desde, pelo menos, abril de 2017 e tem vindo a ganhar cada vez mais destaque nos últimos anos. Num comunicado conjunto divulgado em maio de 2022, a campanha dos trabalhadores de TI é descrita como um esforço coordenado por trabalhadores alinhados com a Coreia do Norte para conseguir emprego em empresas estrangeiras, cujos salários são então usados como financiamento para o regime. Eles também são conhecidos por roubar dados internos das empresas e usá-los para extorsão, conforme declarado num anúncio do FBI em janeiro de 2025.
De acordo com o que a ESET descobriu a partir de dados OSINT disponíveis, currículos falsos e outros materiais relacionados, os trabalhadores de TI concentram-se principalmente em empregos e trabalhos contratados no Ocidente, priorizando especificamente os Estados Unidos. No entanto, as suas descobertas com base nos materiais adquiridos mostraram uma mudança em direção à Europa, com alvos em países como França, Polónia, Ucrânia e Albânia.
Os trabalhadores utilizam IA para realizar as suas tarefas profissionais e dependem fortemente da IA para manipular fotos nos seus perfis e currículos, e até mesmo realizar trocas de rosto em entrevistas por vídeo em tempo real para se parecerem com a persona que estão a usar no momento. Eles utilizam plataformas de entrevistas remotas como Zoom, MiroTalk, FreeConference ou Microsoft Teams para várias técnicas de engenharia social. As entrevistas por procuração representam um risco grave para os empregadores, uma vez que a contratação de um funcionário ilegítimo de um país sancionado pode não só ser irresponsável ou ter um desempenho abaixo do esperado, como também evoluir para uma ameaça interna perigosa.
“As atividades dos trabalhadores de TI norte-coreanos constituem uma ameaça híbrida. Este esquema de fraude por encomenda combina operações criminosas clássicas, como roubo de identidade e fraude de identidade sintética, com ferramentas digitais, o que o classifica tanto como um crime tradicional como um cibercrime”, comenta Kálnai.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/
