Ataque ClickFake se torna novo vetor para entrega de malware OtterCandy

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores identificaram um aumento nas táticas sofisticadas de cadeia de suprimentos do grupo WaterPlum, vinculado à Coreia do Norte, especificamente sua Cluster B, que ampliou a distribuição do malware OtterCandy por meio da campanha ClickFake Interview no Japão e em outras regiões. Desde julho de 2025, a Cluster B mudou seu foco para um RAT (Remote Access Trojan) baseado em Node.js, chamado OtterCandy, que combina recursos de ferramentas anteriores e permite a exfiltração de dados de forma mais eficiente. O malware se conecta a um servidor de comando e controle (C2) via Socket.IO, transmitindo informações do sistema e coletando credenciais de navegadores, arquivos de carteiras de criptomoedas e documentos do usuário. A versão 2 do OtterCandy introduziu melhorias significativas, como a coleta de dados completos de perfis de navegadores e um comando que apaga vestígios de sua presença. Organizações no Japão e em regiões afetadas devem reforçar suas regras de detecção de endpoints e monitorar atividades suspeitas relacionadas ao Node.js. A evolução do OtterCandy representa um ponto crítico nas operações de atores de ameaças da Coreia do Norte, exigindo vigilância reforçada em controles de segurança de cadeia de suprimentos e endpoints.

Fonte: https://cyberpress.org/clickfake-interview-attack/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
17/10/2025 • Risco: ALTO
MALWARE

Ataque ClickFake se torna novo vetor para entrega de malware OtterCandy

RESUMO EXECUTIVO
O surgimento do OtterCandy como um vetor de ataque destaca a necessidade de vigilância em segurança cibernética. A coleta de dados sensíveis e a persistência do malware exigem que as organizações implementem medidas de segurança robustas e monitorem ativamente suas redes.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido à exfiltração de dados e interrupções operacionais.
Operacional
Exfiltração de dados sensíveis, incluindo credenciais de navegadores e documentos do usuário.
Setores vulneráveis
['Tecnologia da Informação', 'Finanças', 'Educação']

📊 INDICADORES CHAVE

A versão 2 do OtterCandy aumentou o número de extensões de navegador alvo de 4 para 7. Indicador
O malware agora coleta dados completos de perfis de navegadores, incluindo senhas e histórico de navegação. Contexto BR
O malware utiliza um loader chamado DiggingBeaver para garantir persistência. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de atividades relacionadas ao Node.js e Socket.IO.
2 Implementar regras de detecção para processos Node.js não padrão.
3 Monitorar continuamente alterações no registro e atividades de exfiltração de dados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de malware que podem comprometer dados sensíveis e a integridade das operações.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).