Executando verificação de segurança...
40

Scam Alert - Vaga suspeita

Recentemente tenho procurado vagas no exterior pelo linkedIn, entao sempre que vejo algo interessante mando o curriculo e as vezes recebo resposta. Ontem de madruga eu recebi uma resposta e pediu pra marcar uma call, agendei com o cara e no horario da call ficou só eu e um cara na call porem parecia que o cara estava em uma sala com o mic aberto e ignorando minha presença, não respondia, nem nada.
Aguardei uns 15 mins, e não tive resposta alguma, então mandei um email falando pra remarcarem. Porem coisa de 10 mins, recebi um convite de um brasileiro falando em ingles oferencendo uma vaga e queria fazer a entrevista cmgo na hora, então como eu já tava livre aceitei, porem o cara mandou esperar e disse que eu precisava primeiro analisar um projeto e depois fariamos a call com o CTO. Ali eu já estranhei, mas pensei, bora ver neh.
Como aprendiz do mestre Akita, não executo codigo de estranho na minha maquina, então primeiro vou ler o codigo pra ver se encontro algo estranho. De todos os arquivos, um me chamou atenção, tava na pasta de middleware do server, e tinha um arquivo error lá, quando abri, vi um arquivo js obfuscado.
Dei uma lida rapida e vi um IP e já pensei, ta aqui o BO, mandei o codigo pro ChatGPT e ele me falou que era um classico codigo de extração de dados.

Então galera, quando verem alguma abordagem estranha, já confiram isso, e sempre confiram o codigo dos testes que vcs estão recebendo.

Obs.: Uma coisa que só me lembrei agora dps de ler os comentarios. O perfil que me abordou, era de um brasileiro, porem quando verifiquei o perfil, era um perfil aparentemente ativo e dono de uma empresa brasileira, porem à meses sem postar nada, provavelmente foi um perfil hackeado. Então acho que o intuido da tentativa de golpe pode ser essa tambem, angariar mais perfis para golpes, e de quebra conseguir carteiras de criptomoedas

5
2

Vi uma notícia recentemente que está iniciando uma onda de malwares enviados em projetos técnicos. não consegui achar a fonte. Muito cuidado ao executar códigos alheios

2

compartilha esse código doido ai em um git, gist ou algum pastebin da vida pro pessoal ter uma idéia do que se trata

estranho os pessoal se dar todo esse trabalho, todos os contatos vieram de um email corporativo e tal? tinha site a empresa?

8

Não me leve a mal, triiick e oraculo mas sugiro que consulte um advogado antes de tornar público um material (código fonte etc.) caso tenha sido compartilhado somente contigo. Por incrível que pareça, caso o indivíduo não tenha lhe dado anuência e tenha evidências da divulgação, sabendo quem é você, pode acioná-lo na justiça por violação de correspondência. Contudo, se você também possui nomes e evidências, pode usá-las para judicializar o caso, caso tenha certeza de que caiu em uma fraude e tenha interesse em entrar com processo. O juiz é quem decidirá o que está sob sigilo e o que pode ser colocado para acesso público. Encontrei esta reportagem do Olhar Digital. Se puder, consulte o Código Penal buscando no texto pelas ocorrências do termo "correspondência". Acho que também se aplica os art. XX e XXI do Código Civil. Tenho em mente o aspecto do sigilo, segundo o art. V, inciso XII da C.F. quando realizando um CC (Carbon Copy) ou Forward de mensagem eletrônica.


TL;DR

Eu me surpreendo com estes detalhes da justiça brasileira, mas no fundo há um motivo, por exemplo, no caso de engano e exposição injusta de pessoas suspeitas (simplesmente identificadas por filmagens etc.) e empresas! O simples fato de sofrermos um assalto não nos dá o direito de expor publicamente a parte "suspeita", atribuindo-lhe palavras ou qualidades negativas, xingar, ainda que saibamos da veracidade dos atos. Sei que é estranho e eu também estranhei e me revoltei quando ouvi isso de uma representante de autoridade. São as formalidades da justiça brasileira preservando os direitos das partes. Assim, no caso hipotético do assalto, enquanto não for transitado em julgado, não se pode sequer chamar a parte de ladra/ladrão. Cometeria-se o crime de injúria. Se a injúria ocorre em ambiente digital (redes sociais, por exemplo) onde há maior abrangência, a pena pode ser agravada segundo entender o juiz.

Às vezes parece-nos justo publicar, por nossa conta, todos detalhes do feito, a mecânica do ataque a fim de evidenciar o culpado. Ajuda outras pessoas a não entrarem pelo mesmo caminho. Mas também estamos sujeitos à lei do país e ainda, no caso de fraudes realmente comprovadas no ambiente digital, os indivíduos do outro lado podem estar se usando de nomes e/ou infraestrutura de terceiros a fim de dificultar ao máximo para serem encontrados. Nesses casos, é melhor contar com a inteligência do sistema judiciário que sempre os encontra de uma forma ou de outra se o fato for levado para a esfera jurídica. Acredito que "não há nada em oculto que não venha a ser revelado".

Caso algum membro do Tabnews tenha maior conhecimento desses aspectos da justiça brasileira, dou total liberdade para críticar e sugerir correções para esta resposta. Por hora, parece-me que a cautela é a recomendação de todos: suspeite dos pedidos que envolvam ações em seu nome, em sua rede e que possam comprometer você e sua empresa. Como bem lembrou thaysprado, já existem ferramentas para denúncias nas plataformas.

Parabéns para você e por creditar seu tutor, mestre Akita, que cultivou em ti o hábito de inspecionar códigos de terceiros antes de executá-lo no seu lado, dentro de sua infraestrutura.


PS: Quanto à divulgação, eu também ficaria um pouco ansioso "jogar tudo no ventilador", por exemplo, os C.P.F. dos boletos que recebemos nos phishing mails, mas me lembro da história que após espalhar penas aos ventos, é difícil apanhá-las todas de volta caso eu me arrependa por não ter ponderado bem os efeitos da minha ação. Assim como o oraculo, tenho curiosidade mas, penso eu, não seria justo expor você simplesmente para satisfazê-la. Feliz/infelizmente, na internet, é quase impossível destruir um conteúdo. Sempre há algum servidor espelhando páginas.

E por último (peço desculpas por fazê-lo somente agora), agradeço por compartilhar aqui no Tabnews esse alerta para que fiquemos atentos aos brilhos que aparecem no ambiente digital. A todo custo tentam tomar nossa atenção e ...

3

Eu pensei em compartilhar, porem me veio mais aquela de, nao vou divulgar codigo malicioso pois a gente nunca sabe a indole de quem ta lendo

1

Uma coisa não ficou clara: "não excecuto codigo malicioso", eles te mandaram um projeto pra abrir a call? ou um link? isso que não ficou claro pra mim se puder esclarecer.
obrigado.

1

Eles me mandaram um projeto no github pra dar fork e fazer o "teste" naquele repositorio.
O que é o natural? Eu dar fork, e executar o projeto pra então começar a desenvolver. A para tá ai, dentro de uma das pastas existe um codigo que iria executar em qualquer erro que desse, e esse codigo iria:

  1. Fazer uma varredura de todos os navegadores da minha maquina
  2. Pegar todos os dados relevantes, ou seja, sessões ativas, wallets de cripto, senhas salvas..
  3. Enviar os dados para um servidor remoto e salvar
  4. Abrir um backdoor na minha maquina permitindo alguem acessar remotamente

Então o pulo do gato é esse, fingem ser um teste mas no final roubam seus dados, fora a possibilidade de ser um ransomware

1

Show, parabéns pelo relato/aviso.

Uma dúvida, se você executasse o código em uma máquina virtual, poderia extrair seus dados do sistema principal ou é mesmo dividido na memória (principal versus virtualização)?

2

Não daria em nada, eu dei uma lida rapida, e reparei que faz uma busca em todos os navegadores instalados, então provavelmente estava procurando carteiras de crypto e dados de sessão.

2