Você se candidata a uma vaga remota em uma startup cripto, faz o upload do currículo e, de repente, a “plataforma de seleção” alega um problema inexistente no seu microfone. O site oferece um comando que promete resolver o bug, mas, ao executá-lo, você entrega as chaves do seu computador a um grupo ligado ao governo da Coreia do Norte. Essa é a nova tática revelada pela GitLab Threat Intelligence: o uso do truque social “ClickFix” para instalar o malware BeaverTail em máquinas de profissionais de marketing, vendas e trading.
A novidade marca uma guinada importante. Até então, o mesmo grupo — associado ao notório cluster Lazarus — focava quase exclusivamente em desenvolvedores de software, disfarçando testes técnicos com o codinome Contagious Interview. Agora, a ameaça se expande para perfis menos técnicos, mas igualmente valiosos em empresas de criptomoedas e e-commerce. Entender esse movimento é crucial para qualquer pessoa que gerencie ativos digitais, mantenha um blog sobre Web3 ou monetize seu site com anúncios e programas de afiliados.
BeaverTail: ladrão de dados em versão enxuta
Descrito pela primeira vez pela Palo Alto Networks em 2023, o BeaverTail é um malware escrito em JavaScript capaz de roubar informações do navegador e baixar um backdoor em Python chamado InvisibleFerret. Na campanha identificada em maio de 2025, os invasores distribuíram uma edição “light”: ela mira apenas oito extensões de navegador (em vez de 22) e se limita ao Google Chrome, deixando Firefox e Edge de lado. O código vem empacotado em binários prontos para Windows, macOS e Linux, criados com ferramentas como pkg e PyInstaller.
Outro detalhe inédito é o uso de um arquivo ZIP protegido por senha para carregar as dependências Python do InvisibleFerret. A técnica de “ZIP com senha” é antiga no arsenal de APTs, mas surge pela primeira vez na cadeia do BeaverTail, sinalizando ajustes constantes para contornar antivírus e sandboxes.
O golpe ClickFix passo a passo
1. Site de contratação falso: os atacantes criam uma aplicação na plataforma Vercel, divulgando vagas de “trader cripto” ou “especialista de marketing”.
2. Coleta de IP: assim que o candidato acessa o link, o site registra o endereço IP público como forma de triagem e rastreamento.
3. Vídeo-entrevista e erro forjado: o recrutador pede um vídeo curto. Na sequência, o sistema acusa um “erro de microfone” e exibe instruções para rodar um comando específico ao sistema operacional.
4. Execução do script: o comando baixa e executa um shell script (Linux/macOS) ou um VBScript (Windows) que entrega a versão enxuta do BeaverTail.
5. Roubo silencioso: instalado, o malware coleta senhas salvas, cookies de sessão e dá início ao download do InvisibleFerret para controle remoto.
Menos código, público maior: tática em expansão controlada
Segundo a GitLab, o baixo número de artefatos secundários e a falta de refinamento no engenharia social indicam que esta fase ainda é um teste limitado, não uma operação em larga escala. Mesmo assim, ela se encaixa num movimento maior: relatórios de SentinelOne mostram ao menos 230 vítimas entre janeiro e março de 2025 em golpes de entrevistas falsas, todos aproveitando o tema ClickFix.
Esse ecossistema inclui malwares como GolangGhost, PylangGhost e FlexibleFerret, além de scripts Node.js apelidados de ContagiousDrop. O objetivo é o mesmo: adaptar o pacote malicioso ao sistema da vítima e notificar os operadores por e-mail assim que o “teste de habilidades” começar.
De portfólios a planilhas: por que profissionais fora da TI viraram alvo prioritário
Para quem trabalha com marketing digital, criação de conteúdo em WordPress ou gestão de campanhas em Google Ads, o recado é claro: não é preciso escrever código para entrar na mira de um APT. Ao deslocar o foco dos devs para áreas comerciais, os operadores norte-coreanos ganham três vantagens:
Imagem: Internet
Superfície de ataque ampliada: vagas de marketing e vendas atraem candidatos com perfis variados, muitos deles em países com legislação de criptomoedas permissiva — ambiente perfeito para lavar ou movimentar ativos digitais.
Barragem contra defesas técnicas: quem não lida diariamente com linha de comando tende a baixar ferramentas sugeridas pelo “recrutador” sem desconfiar. Isso reduz a necessidade de explorar vulnerabilidades complexas.
Dados que valem ouro: cookies de acesso a contas de anúncios, dashboards de afiliados e carteiras Web3 possibilitam roubo direto de receita ou fraude em campanhas publicitárias.
Na prática, o ataque confirma uma tendência: grupos APT estão simplificando cargas maliciosas e refinando a engenharia social para conquistar vítimas fora do círculo restrito de desenvolvedores. Para sites que dependem de programas de monetização, uma invasão pode significar desde propaganda fraudulenta até o bloqueio definitivo de contas de anúncios. Filtros de e-mail, autenticação em duas etapas e políticas de dispositivos gerenciados deixam de ser “boa prática” e passam a ser requisito mínimo de sobrevivência no mercado digital contemporâneo.
Mesmo que o teste ainda seja limitado, o avanço do BeaverTail em campanhas ClickFix indica que a água no caldeirão já começou a ferver — e quem lida com dados sensíveis de tráfego, publicidade ou criptoativos precisa ajustar o termômetro antes que seja tarde.
