Ataque norte-coreano usa JSON Keeper para entregar malware sem ser notado

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores da NVISO identificaram uma nova tática do grupo de hackers norte-coreano Contagious Interview, que utiliza serviços de armazenamento JSON para disseminar malware. O ataque visa principalmente plataformas de networking profissional, como o LinkedIn, onde os criminosos se passam por recrutadores ou colaboradores. O malware, denominado BeaverTail, é um trojan que pode roubar dados sensíveis e instalar uma backdoor Python chamada InvisibleFerret. Um dos métodos utilizados envolve a ofuscação de um arquivo que parece conter uma chave de API, mas na verdade redireciona para uma URL de armazenamento JSON. Além disso, um novo payload chamado TsunamiKit foi introduzido, permitindo que os hackers coletem dados e baixem mais malwares de endereços .onion. Essa abordagem disfarçada, utilizando serviços legítimos, demonstra a evolução das táticas de ciberataque, tornando a detecção mais difícil e aumentando o risco para usuários e empresas.

Fonte: https://canaltech.com.br/seguranca/ataque-norte-coreano-usa-json-keeper-para-entregar-malware-sem-ser-notado/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
18/11/2025 • Risco: ALTO
MALWARE

Ataque norte-coreano usa 'JSON Keeper' para entregar malware sem ser notado

RESUMO EXECUTIVO
O uso de técnicas avançadas de engenharia social e malware disfarçado representa um risco significativo para empresas brasileiras, especialmente aquelas que operam em setores vulneráveis. A detecção e mitigação de tais ameaças são essenciais para proteger dados sensíveis e garantir a conformidade com a legislação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados sensíveis e instalação de backdoors.
Setores vulneráveis
['Tecnologia', 'Recursos Humanos', 'Serviços Financeiros']

📊 INDICADORES CHAVE

O malware BeaverTail foi identificado como capaz de roubar dados sensíveis. Indicador
O novo payload TsunamiKit foi introduzido em setembro de 2025. Contexto BR
O uso de serviços legítimos para disfarçar ataques é uma nova tática observada. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar logs de acesso e atividades suspeitas nas plataformas de networking.
2 Implementar filtros de segurança para bloquear downloads de arquivos suspeitos.
3 Monitorar continuamente atividades em serviços de armazenamento JSON e plataformas de desenvolvimento.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação dos ataques que utilizam engenharia social e malware disfarçado, que podem comprometer dados sensíveis de suas organizações.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).