Gli hacker del Gruppo Lazarus prendono di mira gli investitori di criptovalute tramite LinkedIn
Gli hacker usano LinkedIn
Gli hacker nordcoreani del Lazarus Group stanno conducendo una campagna su larga scala utilizzando annunci di lavoro fraudolenti su LinkedIn. Rubano le credenziali del browser di chi cerca lavoro, violano i portafogli di criptovaluta e stabiliscono un accesso persistente ai dispositivi infetti.
Secondo i BitDefender Labs, gli aggressori raggiungono le vittime con false offerte di lavoro tramite LinkedIn, inducendole a scaricare ed eseguire un malware JavaScript stealer da un server remoto.
"I nostri ricercatori hanno scoperto che il malware è uno stealer multipiattaforma in grado di funzionare su Windows, macOS e Linux", ha dichiarato BitDefender in un post sul blog.
Il malware è stato progettato per colpire i portafogli di criptovalute più diffusi tracciando specifiche estensioni del browser associate alle criptovalute.
L'analisi del malware e dei metodi di attacco ha permesso ai ricercatori di collegare la campagna agli hacker nordcoreani, in particolare ad APT38, che in passato ha utilizzato tattiche simili, tra cui annunci di lavoro falsi e domande di lavoro fraudolente.
Come funziona la truffa
Lo schema fraudolento inizia con un'allettante offerta di lavoro su LinkedIn: collaborare allo sviluppo di uno scambio di criptovalute decentralizzato. Una volta che la vittima esprime interesse, le viene chiesto di fornire un curriculum o un link a GitHub, che di per sé può essere sfruttato per scopi fraudolenti. Gli aggressori condividono quindi un repository contenente un "prodotto minimo realizzabile" (MVP) di un falso progetto di criptovaluta.
Alle vittime viene anche inviato un documento con domande a cui si può rispondere solo eseguendo il codice demo dal repository. Questa azione innesca l'installazione del malware, portando all'infezione del dispositivo.
Gli utenti di LinkedIn e Reddit hanno già segnalato attacchi simili in cui gli hacker chiedevano loro di clonare un repository dannoso o di correggere bug nel suo codice. BitDefender mette in guardia dai principali segnali di allarme, come descrizioni vaghe del lavoro, repository sospetti e scarsa comunicazione, per aiutare gli utenti a evitare di cadere vittime di queste truffe.
Nel frattempo, gli hacker nordcoreani continuano ad attaccare gli scambi di criptovalute, mentre gli Stati Uniti e i loro alleati adottano contromisure.
