Les pirates du Lazarus Group ciblent les investisseurs en cryptomonnaies via LinkedIn
Les pirates utilisent LinkedIn
Des pirates nord-coréens du Lazarus Group mènent une campagne à grande échelle en utilisant des offres d'emploi frauduleuses sur LinkedIn. Ils volent les identifiants de navigation des demandeurs d'emploi, piratent les portefeuilles de crypto-monnaies et établissent un accès persistant aux appareils infectés.
Selon BitDefender Labs, les attaquants contactent les victimes avec de fausses offres d'emploi via LinkedIn, les incitant à télécharger et à exécuter un voleur de JavaScript malveillant à partir d'un serveur distant.
"Nos chercheurs ont découvert que le malware est un stealer multiplateforme capable de fonctionner sous Windows, macOS et Linux", indique BitDefender dans un billet de blog.
Le malware est conçu pour cibler les portefeuilles de crypto-monnaies populaires en suivant des extensions de navigateur spécifiques associées à des actifs cryptographiques.
Une analyse du malware et des méthodes d'attaque a permis aux chercheurs de relier la campagne à des pirates nord-coréens, plus précisément à APT38, qui a déjà utilisé des tactiques similaires, notamment de fausses offres d'emploi et des demandes d'emploi frauduleuses.
Comment fonctionne l'escroquerie
Le stratagème frauduleux commence par une offre d'emploi alléchante sur LinkedIn - collaborer au développement d'une bourse de crypto-monnaies décentralisée. Une fois que la victime a manifesté son intérêt, on lui demande de fournir un CV ou un lien GitHub, qui peut lui-même être exploité à des fins frauduleuses. Les attaquants partagent ensuite un référentiel contenant un "produit minimum viable" (MVP) d'un faux projet de crypto-monnaie.
Les victimes reçoivent également un document contenant des questions auxquelles elles ne peuvent répondre qu'en exécutant le code de démonstration du dépôt. Cette action déclenche l'installation d'un logiciel malveillant, ce qui entraîne l'infection de l'appareil.
Des utilisateurs de LinkedIn et de Reddit ont déjà signalé des attaques similaires dans lesquelles les pirates leur demandaient de cloner un dépôt malveillant ou de corriger des bogues dans son code. BitDefender met en garde contre les principaux signaux d'alerte, tels que des descriptions de poste vagues, des référentiels suspects et une mauvaise communication, afin d'aider les utilisateurs à éviter d'être victimes de ces escroqueries.
Pendant ce temps, les pirates nord-coréens continuent d'attaquer les bourses de crypto-monnaies, tandis que les États-Unis et leurs alliés prennent des contre-mesures.
