Ameaçadores associados à Coreia do Norte foram observados utilizando o LinkedIn como forma de mirar desenvolvedores em uma falsa operação de recrutamento de emprego. Esses ataques empregam testes de codificação como vetor comum de infecção inicial, disse a Mandiant, empresa pertencente ao Google, em um novo relatório sobre as ameaças enfrentadas pelo setor Web3. “Depois de uma conversa inicial, o ameaçador enviou um arquivo ZIP que continha malware COVERTCATCH disfarçado como um desafio de codificação em Python”, disseram os pesquisadores Robert Wallace, Blas Kojusner e Joseph Dobson. O malware funciona como um ponto de partida para comprometer o sistema macOS do alvo ao baixar um payload de segunda fase que estabelece persistência por meio de Agentes de Lançamento e Daemons de Lançamento. Vale ressaltar que esta é uma de muitas atividades clusters – ou seja, Operação Dream Job, Entrevista Contagiosa e outros – realizadas por grupos de hackers norte-coreanos que utilizam iscas relacionadas a empregos para infectar alvos com malware. Iscas temáticas de recrutamento também têm sido uma tática prevalente para distribuir famílias de malware como RustBucket e KANDYKORN. A Mandiant disse que observou uma campanha de engenharia social que entregou um PDF malicioso disfarçado como uma descrição de emprego para um “VP de Finanças e Operações” em uma proeminente exchange de criptomoedas. “O PDF malicioso deixou cair um malware de segunda fase conhecido como RustBucket, que é um backdoor escrito em Rust que suporta a execução de arquivos.” O implante RustBucket é capaz de coletar informações básicas do sistema, se comunicar com uma URL fornecida via linha de comando e configurar a persistência usando um Agente de Lançamento que se disfarça como uma “Atualização do Safari” para entrar em contato com um domínio de comando e controle (C2) codificado. Os alvos de organizaçõe