Lazarus Groupin hakkerit ottavat kryptosijoittajat kohteekseen LinkedInin kautta
Hakkerit käyttävät LinkedIniä
Lazarus Group -ryhmään kuuluvat pohjoiskorealaiset hakkerit toteuttavat laajamittaista kampanjaa, jossa he käyttävät vilpillisiä työpaikkailmoituksia LinkedInissä. He varastavat työnhakijoiden selaintiedot, hakkeroivat kryptovaluuttalompakoita ja luovat pysyvän pääsyn saastuneisiin laitteisiin.
BitDefender Labsin mukaan hyökkääjät tavoittelevat uhreja väärennetyillä työpaikkailmoituksilla LinkedInin kautta ja huijaavat heidät lataamaan ja suorittamaan haitallisen JavaScript-varkauden etäpalvelimelta.
"Tutkijamme havaitsivat, että haittaohjelma on cross-platform stealer, joka pystyy toimimaan Windowsissa, macOS:ssä ja Linuxissa", BitDefender totesi blogikirjoituksessaan.
Haittaohjelma on suunniteltu kohdistumaan suosittuihin kryptovaluuttalompakoihin seuraamalla tiettyjä kryptovaroihin liittyviä selainlaajennuksia.
Haittaohjelman ja hyökkäysmenetelmien analyysin avulla tutkijat pystyivät yhdistämään kampanjan pohjoiskorealaisiin hakkereihin, erityisesti APT38:aan, joka on aiemmin käyttänyt samanlaisia taktiikoita, kuten väärennettyjä työpaikkailmoituksia ja vilpillisiä työhakemuksia.
Miten huijaus toimii
Huijaus alkaa houkuttelevalla työtarjouksella LinkedInissä - yhteistyöstä hajautetun kryptovaluuttapörssin kehittämisessä. Kun uhri ilmaisee kiinnostuksensa, häntä pyydetään antamaan ansioluettelo tai GitHub-linkki, jota sinänsä voidaan käyttää hyväksi petollisiin tarkoituksiin. Tämän jälkeen hyökkääjät jakavat arkiston, joka sisältää väärennetyn kryptoprojektin "pienimmän elinkelpoisen tuotteen" (MVP).
Uhreille lähetetään myös asiakirja, jossa on kysymyksiä, joihin voi vastata vain ajamalla demokoodia arkistosta. Tämä käynnistää haittaohjelman asennuksen, joka johtaa laitteen tartuntaan.
LinkedIn- ja Reddit-käyttäjät ovat jo raportoineet vastaavista hyökkäyksistä, joissa hakkerit pyysivät heitä kloonaamaan haitallisen arkiston tai korjaamaan sen koodissa olevia virheitä. BitDefender varoittaa tärkeimmistä punaisista lipuista, kuten epämääräisistä työnkuvauksista, epäilyttävistä arkistoista ja huonosta viestinnästä, jotta käyttäjät eivät joutuisi näiden huijausten uhreiksi.
Samaan aikaan pohjoiskorealaiset hakkerit jatkavat hyökkäyksiä kryptovaluuttapörsseihin, kun taas Yhdysvallat ja sen liittolaiset ryhtyvät vastatoimiin.
