Hakerzy z Grupy Lazarus atakują inwestorów kryptowalutowych za pośrednictwem LinkedIn

Północnokoreańscy hakerzy z grupy Lazarus prowadzą zakrojoną na szeroką skalę kampanię wykorzystującą fałszywe oferty pracy na LinkedIn. Kradną dane uwierzytelniające przeglądarek osób poszukujących pracy, hakują portfele kryptowalut i ustanawiają stały dostęp do zainfekowanych urządzeń.

Według BitDefender Labs, atakujący docierają do ofiar z fałszywymi ofertami pracy za pośrednictwem LinkedIn, nakłaniając je do pobrania i wykonania złośliwego kodu JavaScript ze zdalnego serwera.

"Nasi badacze odkryli, że złośliwe oprogramowanie jest wieloplatformowym kradaczem zdolnym do działania w systemach Windows, macOS i Linux" - stwierdził BitDefender w poście na blogu.

Złośliwe oprogramowanie zostało zaprojektowane do atakowania popularnych portfeli kryptowalut poprzez śledzenie określonych rozszerzeń przeglądarki powiązanych z zasobami kryptograficznymi.

Analiza złośliwego oprogramowania i metod ataku pozwoliła badaczom powiązać kampanię z północnokoreańskimi hakerami, w szczególności APT38, który wcześniej stosował podobne taktyki, w tym fałszywe oferty pracy i fałszywe podania o pracę.

Jak działa oszustwo

Oszukańczy schemat zaczyna się od kuszącej oferty pracy na LinkedIn - współpracy przy rozwoju zdecentralizowanej giełdy kryptowalut. Gdy ofiara wyrazi zainteresowanie, jest proszona o podanie CV lub linku do GitHub, który sam w sobie może zostać wykorzystany do oszukańczych celów. Następnie atakujący udostępniają repozytorium zawierające "minimalny realny produkt" (MVP) fałszywego projektu kryptograficznego.

Ofiary otrzymują również dokument z pytaniami, na które można odpowiedzieć tylko poprzez uruchomienie kodu demonstracyjnego z repozytorium. Działanie to uruchamia instalację złośliwego oprogramowania, prowadząc do infekcji urządzenia.

Użytkownicy LinkedIn i Reddit zgłaszali już podobne ataki, w których hakerzy prosili ich o sklonowanie złośliwego repozytorium lub naprawienie błędów w jego kodzie. BitDefender ostrzega o kluczowych sygnałach ostrzegawczych, takich jak niejasne opisy stanowisk, podejrzane repozytoria i słaba komunikacja, aby pomóc użytkownikom uniknąć padnięcia ofiarą tych oszustw.

Tymczasem północnokoreańscy hakerzy nadal atakują giełdy kryptowalut, podczas gdy Stany Zjednoczone i ich sojusznicy podejmują środki zaradcze.

Ten materiał może zawierać opinie osób trzecich, nie stanowi porady finansowej i może zawierać treści sponsorowane.