A Lazarus Group hackerei kripto befektetőket vesznek célba a LinkedIn-en keresztül
A hackerek a LinkedIn-t használják
A Lazarus Group észak-koreai hackerei nagyszabású kampányt folytatnak a LinkedIn-en közzétett hamis álláshirdetések felhasználásával. Ellopják az álláskeresők böngészőjének hitelesítő adatait, feltörik a kriptopénz-tárcákat, és tartós hozzáférést biztosítanak a fertőzött eszközökhöz.
A BitDefender Labs szerint a támadók hamis állásajánlatokkal keresik meg az áldozatokat a LinkedIn-en keresztül, rávéve őket, hogy töltsenek le és futtassanak egy rosszindulatú JavaScript-lopót egy távoli szerverről.
"Kutatóink felfedezték, hogy a rosszindulatú szoftver egy platformokon átívelő lopó, amely képes Windows, macOS és Linux rendszereken futni" - áll a BitDefender blogbejegyzésében.
A malware-t úgy tervezték, hogy a népszerű kriptopénz-tárcákat célozza meg azáltal, hogy a kriptoeszközökhöz kapcsolódó konkrét böngészőbővítményeket követi.
A malware és a támadási módszerek elemzése lehetővé tette a kutatók számára, hogy a kampányt észak-koreai hackerekhez, konkrétan az APT38-hoz kössék, amely korábban hasonló taktikát alkalmazott, többek között hamis álláshirdetéseket és hamisított álláspályázatokat.
Hogyan működik az átverés
A csalárd séma egy csábító állásajánlattal kezdődik a LinkedIn-en - egy decentralizált kriptopénz tőzsde fejlesztésében való együttműködéssel. Miután az áldozat kifejezi érdeklődését, arra kérik, hogy adjon meg egy önéletrajzot vagy egy GitHub linket, ami önmagában is felhasználható csalási célokra. A támadók ezután megosztanak egy tárolót, amely egy hamis kriptoprojekt "minimálisan életképes termékét" (MVP) tartalmazza.
Az áldozatoknak egy olyan dokumentumot is küldenek, amely olyan kérdéseket tartalmaz, amelyekre csak az adattárból származó demókód futtatásával lehet válaszolni. Ez a művelet kiváltja a rosszindulatú szoftverek telepítését, ami az eszköz megfertőződéséhez vezet.
A LinkedIn és a Reddit felhasználói már beszámoltak hasonló támadásokról, ahol a hackerek arra kérték őket, hogy klónozzanak egy rosszindulatú tárolót, vagy javítsák ki a kódjában lévő hibákat. A BitDefender figyelmeztet a legfontosabb piros zászlókra, például a homályos munkaköri leírásokra, a gyanús tárolókra és a rossz kommunikációra, hogy a felhasználók elkerülhessék, hogy áldozatul essenek ezeknek az átveréseknek.
Eközben az észak-koreai hackerek továbbra is támadják a kriptopénz-tőzsdéket, miközben az USA és szövetségesei ellenintézkedéseket tesznek.
