Криптовалютные кошельки под прицелом: как хакеры из Lazarus Group вербуют жертв через LinkedIn?

Xакерская группировка Lazarus Group, известная своими киберпреступлениями, развернула масштабную кампанию, нацеленную на кражу криптовалюты. Злоумышленники используют поддельные объявления о работе на платформе LinkedIn, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, предназначенное для кражи данных из криптовалютных кошельков.
Криптовалютные кошельки под прицелом: как хакеры из Lazarus Group вербуют жертв через LinkedIn?
Изображение носит иллюстративный характер

Схема атаки начинается с привлекательного предложения о работе, часто с акцентом на удаленную работу, гибкий график и высокую оплату. Хакеры, выдавая себя за рекрутеров, предлагают потенциальным жертвам заполнить заявку, предоставить резюме или поделиться ссылкой на свой репозиторий GitHub.

Далее жертве предлагается ознакомиться с проектом MVP (Minimum Viable Product) фейковой децентрализованной биржи (DEX). Этот «проект» размещается в репозиториях GitHub или Bitbucket и содержит в себе вредоносный код.

Основным компонентом атаки является кроссплатформенный JavaScript-стилер, получивший название BeaverTail. Он предназначен для сбора информации из расширений криптовалютных кошельков, установленных в браузерах жертвы.

Вторым этапом атаки является внедрение Python-бэкдора InvisibleFerret. Этот бэкдор обеспечивает постоянный удаленный доступ к зараженной системе, отслеживает буфер обмена и может развертывать дополнительные вредоносные программы.

Кроме того, в атаке binary, который скачивает и запускает TOR-прокси-сервер для анонимной связи с командным центром (C2). Этот модуль собирает базовую информацию о системе и отправляет ее на C2-сервер, а также загружает дополнительную полезную нагрузку.

Дополнительная полезная нагрузка может включать в себя похищение конфиденциальных данных, запись нажатий клавиш (кейлоггинг) и запуск программы для майнинга криптовалюты на ресурсах зараженной системы.

Сложность этой атаки подчеркивается использованием различных языков программирования (Python, JavaScript,.NET) и продвинутых техник, таких как TOR-проксирование для сокрытия следов.

Активность Lazarus Group в рамках этой кампании настолько широка, что сообщения о подозрительных предложениях о работе начали появляться на LinkedIn и Reddit. Хакеры даже проводят «собеседования», в ходе которых просят кандидатов исправить намеренно внедренные ошибки в клонированном репозитории Web3, демонстрируя тем самым свою вовлеченность и квалификацию.

Данная кампания также получила название Contagious Interview, DeceptiveDevelopment и DEVPOPPER. Раскрытие информации о ней стало возможным благодаря усилиям специалистов по кибербезопасности из компаний Bitdefender и SentinelOne. Bitdefender обнаружила кампанию с использованием репозитория под названием "miketoken\_v2" на Bitbucket, который к настоящему времени стал недоступен. SentinelOne, в свою очередь, обнаружила факт доставки вредоносного ПО FlexibleFerret через Contagious Interview.

Связь с командным центром (C2) осуществлялась через URL api.npoint[.]io, откуда загружался следующий этап вредоносной нагрузки. Обнаружение SentinelOne, в том числе поставка FlexibleFerret с помощью Contagious Interview, было опубликовано за день до написания этой статьи.

Пользователям, особенно тем, кто работает в сфере криптовалют и путешествий, рекомендуется проявлять особую осторожность при получении предложений о работе в LinkedIn и других платформах, а также тщательно проверять репутацию работодателей и содержание предлагаемых проектов.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка