Google confirma que hackers norte-coreanos usam Gemini em golpes de vagas falsas
A inteligência de ameaças do Google confirmou que o grupo hacker ligado à Coreia do Norte, conhecido como UNC2970, está utilizando a ferramenta de inteligência artificial Gemini para otimizar e personalizar campanhas de phishing com ofertas de emprego falsas. O grupo, que historicamente mira profissionais de tecnologia, agora está focado em empresas de cibersegurança, usando a IA para traçar perfis detalhados de potenciais vítimas.
O que mudou agora
O uso de modelos de linguagem generativa (LLMs) como o Gemini por grupos de ameaças patrocinadas por estados-nação representa uma evolução significativa nas táticas de reconhecimento. O UNC2970 emprega o Gemini para sintetizar informações de fontes abertas (OSINT) sobre profissionais de cibersegurança, coletando dados como funções técnicas específicas, histórico de carreira e até informações salariais. Esses dados são então usados para criar mensagens de phishing altamente personalizadas e convincentes, aumentando drasticamente as taxas de sucesso.
"Observamos uma onda preocupante de grupos de ameaças explorando ferramentas de IA generativa para fins maliciosos", afirmou um representante da equipe de inteligência de ameaças do Google. "Embora o Gemini tenha salvaguardas, os atacantes reformulam solicitações para contornar restrições, posando-se como pesquisadores ou especialistas em segurança."
Vetor e exploração
A campanha, batizada de "Contagious Interview" (Entrevista Contagiosa), segue um modus operandi conhecido: os atacantes se passam por recrutadores de empresas de tecnologia ou cibersegurança legítimas. Usando os perfis elaborados com a ajuda do Gemini, eles entram em contato com profissionais-alvo via LinkedIn, e-mail ou outras plataformas profissionais.
As interações geralmente envolvem a oferta de uma oportunidade de emprego lucrativa, seguida por um processo de "entrevista técnica". Durante essa etapa, a vítima é induzida a baixar e executar pacotes de código malicioso (como pacotes NPM comprometidos) disfarçados de testes de avaliação de habilidades. Uma vez executado, o código instala um backdoor (como o InvisibleFerret) e, em alguns casos, substitui extensões legítimas de carteira de criptomoedas, como o MetaMask, por versões trojanizadas para roubar fundos.
Impacto e alcance
O alvo principal são profissionais de TI, desenvolvedores e pesquisadores de segurança em empresas de cibersegurança, setores de Web3 e criptomoedas, e inteligência artificial. A sofisticação do reconhecimento assistido por IA torna os golpes extremamente difíceis de distinguir de abordagens legítimas de recrutamento.
Para o Brasil, onde o mercado de criptomoedas e tecnologia é vibrante, a ameaça é particularmente relevante. Profissionais brasileiros nessas áreas podem ser alvos atraentes devido ao potencial de acesso a sistemas valiosos e carteiras digitais.
Recomendações de defesa
Profissionais e organizações devem adotar as seguintes medidas:
- Ceticismo com ofertas: Desconfiar de ofertas de emprego não solicitadas, especialmente aquelas que parecem boas demais para ser verdade. Verificar a identidade do recrutador através de canais oficiais da empresa.
- Revisão de código: Nunca executar código ou pacotes de fontes não confiáveis, mesmo que apresentados como parte de um processo de entrevista. Utilizar ambientes sandbox para testes.
- Verificação de extensões: Baixar extensões de navegador apenas das lojas oficiais (Chrome Web Store) e verificar regularmente suas permissões e integridade.
- Conscientização e treinamento: Empresas devem treinar seus funcionários, especialmente em áreas técnicas, sobre esses novos vetores de ataque que utilizam IA.
- Monitoramento de rede: Implementar regras de detecção para tráfego de rede incomum e tentativas de comunicação com infraestrutura de comando e controle (C2) conhecida desses grupos.
O caso ilustra como as ferramentas de IA generativa estão sendo rapidamente incorporadas ao arsenal de cibercriminosos e grupos patrocinados por estados, exigindo que as defesas de segurança evoluam na mesma velocidade para combater ameaças cada vez mais personalizadas e persuasivas.