A atividade de phishing direcionada ao Brasil, orquestrada por atores de ameaça vinculados à Coreia do Norte, tem sido significativa desde 2020, refletindo o interesse crescente do país como alvo estratégico para espionagem cibernética. Segundo um relatório recente da Mandiant e TAG do Google, os grupos patrocinados pelo governo norte-coreano têm focado principalmente no governo brasileiro, além dos setores aeroespacial, de tecnologia e serviços financeiros.
Empresas de criptomoedas e fintechs se destacam como alvos preferenciais para esses grupos. Pelo menos três grupos norte-coreanos têm visado especificamente empresas brasileiras desse setor. As táticas de ataque frequentemente começam com o envio de documentos PDF aparentemente inofensivos, como ofertas de emprego falsas em empresas conhecidas de criptomoedas. Caso o alvo manifeste interesse, o ator da ameaça prossegue com o envio de um segundo documento PDF contendo um questionário de habilidades e instruções para realizar uma tarefa de codificação.
O projeto de codificação geralmente inclui um aplicativo Python trojanizado, inicialmente benigno, projetado para recuperar dados de preços de criptomoedas. No entanto, o aplicativo foi modificado para se conectar a um servidor controlado pelo atacante e baixar uma carga maliciosa de segunda etapa apenas sob certas condições específicas.
Essas cadeias de ataque complexas demonstram a sofisticação e o foco estratégico dos grupos norte-coreanos no Brasil, destacando a importância de vigilância contínua e medidas robustas de segurança cibernética para proteger as organizações contra ameaças emergentes.
Fonte: BoletimSec
