Peretas Lazarus Group menargetkan investor kripto melalui LinkedIn
Peretas menggunakan LinkedIn
Peretas Korea Utara dari Lazarus Group melakukan kampanye berskala besar dengan menggunakan lowongan pekerjaan palsu di LinkedIn. Mereka mencuri kredensial peramban pencari kerja, meretas dompet mata uang kripto, dan membangun akses terus-menerus ke perangkat yang terinfeksi.
Menurut BitDefender Labs, para penyerang menjangkau para korban dengan tawaran pekerjaan palsu melalui LinkedIn, menipu mereka untuk mengunduh dan mengeksekusi pencuri JavaScript berbahaya dari server jarak jauh.
"Para peneliti kami menemukan bahwa malware tersebut adalah pencuri lintas platform yang mampu berjalan di Windows, macOS, dan Linux," kata BitDefender dalam sebuah posting blog.
Malware ini dirancang untuk menargetkan dompet mata uang kripto populer dengan melacak ekstensi peramban tertentu yang terkait dengan aset kripto.
Analisis terhadap malware dan metode serangan memungkinkan para peneliti untuk menghubungkan kampanye ini dengan peretas Korea Utara, khususnya APT38, yang sebelumnya telah menggunakan taktik serupa, termasuk daftar pekerjaan palsu dan lamaran pekerjaan palsu.
Bagaimana penipuan itu bekerja
Skema penipuan ini dimulai dengan tawaran pekerjaan yang menarik di LinkedIn-berkolaborasi dalam pengembangan bursa mata uang kripto terdesentralisasi. Setelah korban menyatakan ketertarikannya, mereka diminta untuk memberikan resume atau tautan GitHub, yang dengan sendirinya dapat dieksploitasi untuk tujuan penipuan. Para penyerang kemudian membagikan sebuah repositori yang berisi sebuah "minimum viable product" (MVP) dari sebuah proyek kripto palsu.
Para korban juga dikirimi sebuah dokumen dengan pertanyaan-pertanyaan yang hanya dapat dijawab dengan menjalankan kode demo dari repositori tersebut. Tindakan ini memicu pemasangan malware, yang menyebabkan infeksi perangkat.
Pengguna LinkedIn dan Reddit telah melaporkan serangan serupa di mana peretas meminta mereka untuk mengkloning repositori berbahaya atau memperbaiki bug dalam kodenya. BitDefender memperingatkan tentang tanda bahaya utama, seperti deskripsi pekerjaan yang tidak jelas, repositori yang mencurigakan, dan komunikasi yang buruk, untuk membantu pengguna agar tidak menjadi korban penipuan ini.
Sementara itu, para peretas Korea Utara terus menyerang bursa mata uang kripto, sementara AS dan sekutunya mengambil tindakan balasan.
