Северокорейская хакерская группировка Lazarus Group, известная своими киберпреступлениями, развернула масштабную кампанию, нацеленную на кражу криптовалюты. Злоумышленники используют поддельные объявления о работе на платформе LinkedIn, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, предназначенное для кражи данных из криптовалютных кошельков.
Схема атаки начинается с привлекательного предложения о работе, часто с акцентом на удаленную работу, гибкий график и высокую оплату. Хакеры, выдавая себя за рекрутеров, предлагают потенциальным жертвам заполнить заявку, предоставить резюме или поделиться ссылкой на свой репозиторий GitHub.
Далее жертве предлагается ознакомиться с проектом MVP (Minimum Viable Product) фейковой децентрализованной биржи (DEX). Этот «проект» размещается в репозиториях GitHub или Bitbucket и содержит в себе вредоносный код.
Основным компонентом атаки является кроссплатформенный JavaScript-стилер, получивший название BeaverTail. Он предназначен для сбора информации из расширений криптовалютных кошельков, установленных в браузерах жертвы.
Вторым этапом атаки является внедрение Python-бэкдора InvisibleFerret. Этот бэкдор обеспечивает постоянный удаленный доступ к зараженной системе, отслеживает буфер обмена и может развертывать дополнительные вредоносные программы.
Кроме того, в атаке binary, который скачивает и запускает TOR-прокси-сервер для анонимной связи с командным центром (C2). Этот модуль собирает базовую информацию о системе и отправляет ее на C2-сервер, а также загружает дополнительную полезную нагрузку.
Дополнительная полезная нагрузка может включать в себя похищение конфиденциальных данных, запись нажатий клавиш (кейлоггинг) и запуск программы для майнинга криптовалюты на ресурсах зараженной системы.
Сложность этой атаки подчеркивается использованием различных языков программирования (Python, JavaScript,.NET) и продвинутых техник, таких как TOR-проксирование для сокрытия следов.
Активность Lazarus Group в рамках этой кампании настолько широка, что сообщения о подозрительных предложениях о работе начали появляться на LinkedIn и Reddit. Хакеры даже проводят «собеседования», в ходе которых просят кандидатов исправить намеренно внедренные ошибки в клонированном репозитории Web3, демонстрируя тем самым свою вовлеченность и квалификацию.
Данная кампания также получила название Contagious Interview, DeceptiveDevelopment и DEVPOPPER. Раскрытие информации о ней стало возможным благодаря усилиям специалистов по кибербезопасности из компаний Bitdefender и SentinelOne. Bitdefender обнаружила кампанию с использованием репозитория под названием "miketoken\_v2" на Bitbucket, который к настоящему времени стал недоступен. SentinelOne, в свою очередь, обнаружила факт доставки вредоносного ПО FlexibleFerret через Contagious Interview.
Связь с командным центром (C2) осуществлялась через URL api.npoint[.]io, откуда загружался следующий этап вредоносной нагрузки. Обнаружение SentinelOne, в том числе поставка FlexibleFerret с помощью Contagious Interview, было опубликовано за день до написания этой статьи.
Пользователям, особенно тем, кто работает в сфере криптовалют и путешествий, рекомендуется проявлять особую осторожность при получении предложений о работе в LinkedIn и других платформах, а также тщательно проверять репутацию работодателей и содержание предлагаемых проектов.
Изображение носит иллюстративный характер
Схема атаки начинается с привлекательного предложения о работе, часто с акцентом на удаленную работу, гибкий график и высокую оплату. Хакеры, выдавая себя за рекрутеров, предлагают потенциальным жертвам заполнить заявку, предоставить резюме или поделиться ссылкой на свой репозиторий GitHub.
Далее жертве предлагается ознакомиться с проектом MVP (Minimum Viable Product) фейковой децентрализованной биржи (DEX). Этот «проект» размещается в репозиториях GitHub или Bitbucket и содержит в себе вредоносный код.
Основным компонентом атаки является кроссплатформенный JavaScript-стилер, получивший название BeaverTail. Он предназначен для сбора информации из расширений криптовалютных кошельков, установленных в браузерах жертвы.
Вторым этапом атаки является внедрение Python-бэкдора InvisibleFerret. Этот бэкдор обеспечивает постоянный удаленный доступ к зараженной системе, отслеживает буфер обмена и может развертывать дополнительные вредоносные программы.
Кроме того, в атаке binary, который скачивает и запускает TOR-прокси-сервер для анонимной связи с командным центром (C2). Этот модуль собирает базовую информацию о системе и отправляет ее на C2-сервер, а также загружает дополнительную полезную нагрузку.
Дополнительная полезная нагрузка может включать в себя похищение конфиденциальных данных, запись нажатий клавиш (кейлоггинг) и запуск программы для майнинга криптовалюты на ресурсах зараженной системы.
Сложность этой атаки подчеркивается использованием различных языков программирования (Python, JavaScript,.NET) и продвинутых техник, таких как TOR-проксирование для сокрытия следов.
Активность Lazarus Group в рамках этой кампании настолько широка, что сообщения о подозрительных предложениях о работе начали появляться на LinkedIn и Reddit. Хакеры даже проводят «собеседования», в ходе которых просят кандидатов исправить намеренно внедренные ошибки в клонированном репозитории Web3, демонстрируя тем самым свою вовлеченность и квалификацию.
Данная кампания также получила название Contagious Interview, DeceptiveDevelopment и DEVPOPPER. Раскрытие информации о ней стало возможным благодаря усилиям специалистов по кибербезопасности из компаний Bitdefender и SentinelOne. Bitdefender обнаружила кампанию с использованием репозитория под названием "miketoken\_v2" на Bitbucket, который к настоящему времени стал недоступен. SentinelOne, в свою очередь, обнаружила факт доставки вредоносного ПО FlexibleFerret через Contagious Interview.
Связь с командным центром (C2) осуществлялась через URL api.npoint[.]io, откуда загружался следующий этап вредоносной нагрузки. Обнаружение SentinelOne, в том числе поставка FlexibleFerret с помощью Contagious Interview, было опубликовано за день до написания этой статьи.
Пользователям, особенно тем, кто работает в сфере криптовалют и путешествий, рекомендуется проявлять особую осторожность при получении предложений о работе в LinkedIn и других платформах, а также тщательно проверять репутацию работодателей и содержание предлагаемых проектов.
