PacificNews#207: Virtual Insanity
Trabalhadores de criptomoedas sob cerco de cibercriminosos norte-coreanos
Agentes de ameaça norte-coreanos têm utilizado anúncios de ofertas de emprego como parte de uma campanha para roubar dinheiro digital. O problema tornou-se tão comum que candidatos a emprego agora monitoram regularmente recrutadores em busca de sinais de que estejam agindo em nome do governo de Pyongyang.
Vinte e cinco especialistas, vítimas e representantes corporativos entrevistados pela Reuters concordaram que o problema é generalizado. De acordo com Carlos Yanez, executivo de desenvolvimento de negócios da empresa suíça de análise de blockchain Global Ledger – um dos alvos recentes dos criminosos –, "Isso acontece comigo o tempo todo e tenho certeza de que acontece com todos neste setor". Yanez acrescentou que, embora não tenha sido hackeado, a qualidade dos golpes aplicados pelos norte-coreanos melhorou significativamente no último ano.
Embora não haja uma estimativa pública de quanto dinheiro é roubado apenas com essa tática, atacantes norte-coreanos teriam subtraído pelo menos US$1,34 bilhão em criptomoedas no ano passado, segundo a empresa de inteligência de blockchain Chainalysis. As Nações Unidas afirmam que Pyongyang utiliza os recursos roubados para financiar seu programa de armas, alvo de sanções internacionais.
A reportagem da Reuters revela detalhes inéditos sobre como os golpistas enganam suas vítimas. Inicialmente, um recrutador entra em contato por LinkedIn ou Telegram com uma proposta de emprego relacionada ao blockchain. "Estamos expandindo nossa equipe", dizia uma mensagem do LinkedIn de 20 de janeiro enviada a Victoria Perepel por alguém que se passava por recrutador da Bitwise Asset Management. "Estamos especialmente em busca de pessoas apaixonadas pelo mercado de criptomoedas."
Após uma breve discussão sobre a suposta vaga e a remuneração, o recrutador incentivava os candidatos a visitar um site desconhecido para realizar um teste de habilidades e gravar um vídeo. Nessa etapa, muitas vítimas começavam a desconfiar. Mas o recrutador insistia: "Seguimos um processo de contratação estruturado, e a avaliação em vídeo é uma etapa essencial para garantir consistência e imparcialidade com todos os candidatos".
Um gerente de produto de uma empresa de criptomoedas dos EUA, que falou sob anonimato por não querer ser identificado publicamente como candidato a emprego, contou que gravou o vídeo e o enviou a uma pessoa que alegava recrutar para a Ripple Labs. Naquela mesma noite, ao perceber que US$1.000 em ether e Solana haviam sumido de sua carteira digital, entendeu que havia sido enganado. Quando procurou o perfil do LinkedIn do suposto recrutador da Ripple, ele já havia sido excluído.
Certificados do resolvedor de DNS 1.1.1.1 podem significar um risco à internet
Você provavelmente já ouviu falar, ou, possivelmente, já usou o resolvedor de DNS 1.1.1.1, um serviço público e gratuito oferecido pela Cloudflare, que oferece uma maneira privada e rápida para navegar na internet. O grande problema é que três certificados, emitidos em maio, podem ser usados para descriptografar consultas criptografadas de DNS sobre HTTPS ou DNS sobre TLS em algumas circunstâncias. Vamos entender melhor.
Os três certificados foram emitidos há três meses atrás, mas somente foram descobertos esta semana. Eles foram emitidos pela Fina RDC 2020, uma autoridade certificadora para o certificado root Fina Root CA, que é confiável pelo Programa de Certificado Root da Microsoft, que, por sua vez, regula quais certificados são confiáveis para o Sistema Operacional Windows. O grande problema? A Cloudflare confirmou que não autorizou a emissão destes certificados, complementando que certificados foram emitidos de forma imprópria e podem representar um risco.
Os certificados são uma parte essencial do protocolo TLS, ou seja, Transport Layer Security, responsável por garantir a privacidade, integridade e autenticidade dos dados em comunicações HTTPS, operando em duas camadas: um handshake para autenticação e negociação de chaves e um protocolo de registro para criptografar e verificar a integridade dos dados.
Na prática, o certificado digital funciona como uma identidade online de um site. Ele conecta o endereço do site (o domínio, como exemplo.com) a uma chave pública única. Para garantir que esse certificado seja confiável, existe uma Autoridade Certificadora (CA) que assina o certificado usando sua própria chave privada. Isso é o que dá credibilidade: quando o navegador vê essa assinatura, ele consegue verificar, com a chave pública da CA, que já vem instalada no navegador/sistema, que aquele certificado é autêntico e não foi forjado. Ou seja: qualquer pessoa em posse de um certificado TLS pode personificar o domínio para o qual ele foi emitido.
Isso significa que quem tiver posse dos certificados do 1.1.1.1 pode, potencialmente, usá-los para realizar ataques de “man-in-the-middle”, interceptando e manipulando o tráfego entre os usuários e o serviço de DNS da Cloudflare. Um atacante nesta posição teria a capacidade de descriptografar, ler e até mesmo alterar o tráfego do serviço deste serviço de DNS, por exemplo.
De imediato, não se sabe que pessoa ou organização fizeram a requisição e obtiveram acesso às credenciais destes certificados.
De acordo com a Cloudflare, o ecossistema de Autoridades Certificadoras é, basicamente, um castelo de várias portas. A falha de uma única CA pode significar que todo o resto do “castelo” seja comprometido. Certificados são, basicamente, responsáveis por garantir confiabilidade em toda a internet. Ao mesmo tempo que eles garantem a privacidade e criptografia de dados, podem, também, significar que um único ponto de falha faça toda esse sistema colapsar.
No caso em tela, um certificado ficou impróprio para uso por 04 meses até que fosse detectado. Pense no potencial estrago para danos em um caso dessa magnitude. Quando indagada sobre este tópico, a Fina permaneceu silente e, até o momento, não deu sua versão dos fatos.
Patches & Updates
TP-link:
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou duas falhas de segurança que afetam roteadores sem fio da TP-Link ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV, na sigla em inglês). As falhas estão sendo exploradas ativamente: (i) CVE-2023-50224 (pontuação CVSS: 6,5) - uma vulnerabilidade de desvio de autenticação por falsificação no serviço httpd do roteador TP-Link TL-WR841N, que escuta na porta TCP 80 por padrão e cuja exploração pode levar à divulgação de credenciais armazenadas no arquivo "/tmp/dropbear/dropbearpwd"; (ii) CVE-2025-9377 (pontuação CVSS: 8,6) - uma vulnerabilidade de injeção de comandos do sistema operacional nos modelos TP-Link Archer C7(EU) V2, TL-WR841N V9 e TL-WR841ND(MS) V9, que pode levar à execução remota de código. A TP-Link lançou atualizações de firmware para corrigir as duas vulnerabilidades em novembro de 2024.
Cloudflare:
A empresa de infraestrutura em internet, Cloudflare, disse ter quebrado, novamente, seu recorde de maior ataque de negação distribuída de serviço (DDoS) bloqueado em questão de volume. Estamos falando de um ataque que chegou a 11.5 terabits por segundo (Tbps). Neste tipo de ataque, os agentes maliciosos querem exaurir os recursos de um sistema com o envio de uma quantidade massiva de dados, consumindo toda a banda e não permitindo que usuários legítimos acessem os servidores e serviços desejados. O ataque durou cerca de 35 segundos e se originou de uma combinação de diversos dispositivos IoT e provedores diversos de Cloud, indicando uma possível ação de botnet coordenada.
Android:
O sistema operacional Android preparou um dos maiores patches do ano, com 120 correções para diversas falhas, inclusive, duas delas exploradas no mundo real. Estas falhas são CVE-2025-38352 e CVE-2025-48543, ambas permitindo que um atacante eleve privilégios no dispositivo da vítima sem interação do usuário. A Google não mencionou qual grupo está explorando estas falhas, mas tudo indica que trata-se de uma empresa de vigilância.
Destaques pelo mundo
Venezuela:
Durante uma coletiva de imprensa na segunda-feira, o presidente da Venezuela, Nicolás Maduro, exibiu um smartphone Huawei presenteado pelo presidente chinês, Xi Jinping, chamando-o de "o melhor celular do mundo" e fazendo uma afirmação ousada: "Os americanos não conseguem hackear, nem seus aviões espiões, nem seus satélites", disse Maduro. No entanto, só no mês passado, a Huawei corrigiu 60 bugs no HarmonyOS, 13 dos quais foram classificados como vulnerabilidades de "alta gravidade". A própria Huawei reconhece que malwares podem se infiltrar em seus dispositivos e possui uma página dedicada a ajudar clientes que possam ter tido seus dispositivos comprometidos.
Cookies:
A autoridade francesa de proteção de dados multou o Google e a gigante chinesa de comércio eletrônico Shein em US$379 milhões (€ 325 milhões) e US$175 milhões (€ 150 milhões), respectivamente, por violarem as regras de cookies. Isso porque ambas as empresas instalaram cookies de publicidade nos navegadores dos usuários sem obter seu consentimento, informou a Comissão Nacional de Informática e Liberdades (CNIL).
ICE:
Os agentes de imigração dos Estados Unidos terão acesso a uma das ferramentas cibernéticas mais sofisticadas da atualidade, após o presidente Donald Trump firmar contrato com a Paragon Solutions. Essa companhia israelense fabrica um spyware que pode ser usado para quebrar o perímetro de qualquer telefone celular, inclusive aplicativos criptografados. Para muitos, este spyware – chamado Graphite – é considerado uma das mais poderosas armas cibernéticas já criadas, com o poder de tomar o controle absoluto de um celular, rastrear indivíduos, ler suas mensagens, observar suas fotos e ler informações de qualquer aplicativo, como Telegram, WhatsApp e Signal.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
