Candidatos a emprego visados ​​em campanha de phishing móvel

Uma sofisticada campanha de phishing móvel direcionada a candidatos a emprego com a intenção de instalar software malicioso perigoso em seus telefones foi revelada na terça-feira por pesquisadores de segurança.

A campanha descoberta pelo Zimperium zLabs tem como alvo celulares Android e tem como objetivo distribuir uma variante do trojan bancário Antidot que os pesquisadores apelidaram de AppLite Banker.

“A capacidade do trojan bancário AppLite de roubar credenciais de aplicativos críticos, como bancos e criptomoedas, torna esse golpe altamente perigoso”, disse Jason Soroko, pesquisador sênior da Sectigo, um provedor de gerenciamento de ciclo de vida de certificados em Scottsdale, Arizona.

“À medida que o phishing móvel continua a aumentar, é crucial que os indivíduos permaneçam vigilantes sobre ofertas de emprego não solicitadas e sempre verifiquem a legitimidade dos links antes de clicarem”, disse ele ao TechNewsWorld.

“O trojan bancário AppLite requer permissões por meio dos recursos de acessibilidade do telefone”, acrescentou James McQuiggan, defensor de conscientização de segurança da KnowBe4, um provedor de treinamento de conscientização de segurança em Clearwater, Flórida.

“Se o usuário não souber”, disse ele ao TechNewsWorld, “ele pode permitir o controle total sobre seu dispositivo, disponibilizando dados pessoais, localização GPS e outras informações para os cibercriminosos”.

Tática de ‘abate de porcos’

Num blog no site da Zimperium, o pesquisador Vishnu Pratapagiri explicou que os invasores se apresentam como recrutadores, atraindo vítimas inocentes com ofertas de emprego. Como parte do processo de contratação fraudulento, continuou ele, a campanha de phishing engana as vítimas para que baixem um aplicativo malicioso que atua como um dropper, eventualmente instalando o AppLite.

“Os atacantes por trás desta campanha de phishing demonstraram um nível notável de adaptabilidade, aproveitando diversas e sofisticadas estratégias de engenharia social para atingir as suas vítimas”, escreveu Pratapagiri.

Uma tática importante empregada pelos invasores envolve se passar por recrutadores ou representantes de RH de organizações conhecidas, continuou ele. As vítimas são atraídas a responder a e-mails fraudulentos, cuidadosamente elaborados para se parecerem com ofertas de emprego autênticas ou pedidos de informações adicionais.

“As pessoas estão desesperadas para conseguir um emprego, então, quando veem trabalho remoto, bons salários, bons benefícios, elas respondem”, observou Steve Levy, principal consultor de talentos do DHI Group, um mercado de carreira para candidatos que buscam cargos e empregadores com foco em tecnologia. procurando contratar talentos tecnológicos globalmente, em Centennial, Colorado.

“Isso faz a bola de neve rolar”, disse ele ao TechNewsWorld. “Isso se chama abate de porcos. Os agricultores engordam um porco aos poucos, então, na hora de cozinhá-lo, eles ficam bem grandes e suculentos.”

Após a comunicação inicial, Pratapagiri explicou que os agentes da ameaça orientam as vítimas a baixar um suposto aplicativo CRM Android. Embora pareça legítimo, esse aplicativo funciona como um conta-gotas malicioso, facilitando a implantação da carga primária no dispositivo da vítima.

Ilustração de um dos métodos empregados para distribuir e executar o malware AppLite no dispositivo móvel da vítima. (Crédito: Zimperium)

---

Mudança dramática para ataques móveis

Stephen Kowski, CTO de campo da SlashNext, uma empresa de segurança de computadores e redes em Pleasanton, Califórnia, observou que a campanha AppLite representa uma evolução sofisticada de técnicas vistas pela primeira vez na Operação Dream Job, uma campanha global dirigida em 2023 pelo infame norte-coreano Lazarus grupo.

Embora a Operação Dream Job original utilizasse mensagens do LinkedIn e anexos maliciosos para atingir candidatos a emprego nos sectores da defesa e aeroespacial, os ataques actuais expandiram-se para explorar vulnerabilidades móveis através de páginas fraudulentas de candidatura a empregos e trojans bancários, explicou.

“A mudança dramática para ataques mobile-first é evidenciada pelo fato de que 82% dos sites de phishing agora visam especificamente dispositivos móveis, com 76% usando HTTPS para parecerem legítimos”, disse ele ao TechNewsWorld.

“Os agentes da ameaça refinaram suas táticas de engenharia social, indo além do simples malware baseado em documentos para implantar trojans bancários móveis sofisticados que podem roubar credenciais e comprometer dados pessoais, demonstrando como essas campanhas continuam a evoluir e a se adaptar para explorar novas superfícies de ataque”, disse Kowski. explicou.

“Nossos dados internos mostram que os usuários têm quatro vezes mais probabilidade de clicar em e-mails maliciosos quando usam dispositivos móveis em comparação com desktops”, acrescentou Mika Aalto, cofundador e CEO da Hoxhunt, fornecedora de soluções de conscientização de segurança empresarial em Helsinque.

“O que é ainda mais preocupante é que os usuários móveis tendem a clicar nesses e-mails maliciosos em uma taxa ainda maior durante a madrugada ou muito cedo pela manhã, o que sugere que as pessoas são mais vulneráveis ​​a ataques em dispositivos móveis quando suas defesas estão baixas, ” ele disse ao TechNewsWorld. “Os invasores estão claramente cientes disso e estão continuamente evoluindo suas táticas para explorar essas vulnerabilidades.”

Esta nova onda de fraudes cibernéticas sublinha a evolução das tácticas utilizadas pelos cibercriminosos para explorar candidatos a emprego motivados para fazer feliz um potencial empregador, observou Soroko.

“Ao capitalizar a confiança dos indivíduos em ofertas de emprego aparentemente legítimas, os invasores podem infectar dispositivos móveis com malware sofisticado que tem como alvo dados financeiros”, disse ele. “O uso de dispositivos Android, em particular, destaca a tendência crescente de campanhas de phishing específicas para dispositivos móveis.”

“Tenha cuidado com o que você carrega em um dispositivo Android”, alertou ele.

As empresas também precisam de proteção

Levy, da DHI, observou que os ataques a quem procura emprego não se limitam aos telemóveis. “Não creio que isso seja simplesmente relegado aos telefones celulares”, disse ele. “Estamos vendo isso em todas as plataformas sociais. Estamos vendo isso no LinkedIn, Facebook, TikTok e Instagram.”

“Esses golpes não são apenas comuns, mas também muito insidiosos”, declarou ele. “Eles se aproveitam da situação emocional dos que procuram emprego.”

“Provavelmente recebo três a quatro dessas consultas de texto por semana”, continuou ele. “Todos eles vão para minha pasta de lixo eletrônico automaticamente. Estas são as novas versões dos e-mails do príncipe nigeriano que pedem que você envie US$ 1.000 e eles devolverão US$ 10 milhões.”

Além de sua capacidade de imitar empresas, o AppLite também pode se disfarçar como aplicativos Chrome e TikTok, demonstrando uma ampla gama de vetores-alvo, incluindo controle total de dispositivos e acesso a aplicativos.

“O nível de acesso fornecido aos invasores também pode incluir credenciais corporativas, aplicativos e dados se o dispositivo for usado pelo usuário para trabalho remoto ou acesso para seu empregador existente”, escreveu Pratapagiri.

“Como os dispositivos móveis se tornaram essenciais para as operações comerciais, protegê-los é crucial, especialmente para proteger contra a grande variedade de diferentes tipos de ataques de phishing, incluindo essas sofisticadas tentativas de phishing direcionadas a dispositivos móveis”, disse Patrick Tiquet, vice-presidente de segurança e arquitetura. da Keeper Security, uma empresa de gerenciamento de senhas e armazenamento online, em Chicago.

“As organizações devem implementar políticas robustas de gerenciamento de dispositivos móveis, garantindo que tanto os dispositivos corporativos quanto os BYOD cumpram os padrões de segurança”, disse ele ao TechNewsWorld. “As atualizações regulares dos dispositivos e do software de segurança garantirão que as vulnerabilidades sejam prontamente corrigidas, protegendo contra ameaças conhecidas que visam usuários móveis.”

Aalto também recomendou a adoção de plataformas de gestão de risco humano (HRM) para enfrentar a crescente sofisticação dos ataques de phishing móveis.

“Quando um novo ataque é relatado por um funcionário, a plataforma de RH aprende a encontrar automaticamente futuros ataques semelhantes”, disse ele. “Ao integrar a gestão de recursos humanos, as organizações podem criar uma cultura de segurança mais resiliente, onde os usuários se tornam defensores ativos contra ataques de phishing e smishing móveis.”