Hackerii Lazarus Group vizează investitorii în criptografie prin intermediul LinkedIn
Hackerii folosesc LinkedIn
Hackerii nord-coreeni din Lazarus Group desfășoară o campanie pe scară largă folosind anunțuri frauduloase de angajare pe LinkedIn. Aceștia fură acreditările de browser ale solicitanților de locuri de muncă, hackuiesc portofelele de criptomonede și stabilesc accesul persistent la dispozitivele infectate.
Potrivit BitDefender Labs, atacatorii ajung la victime cu oferte de locuri de muncă false prin LinkedIn, păcălindu-le să descarce și să execute un JavaScript stealer malițios de pe un server de la distanță.
"Cercetătorii noștri au descoperit că malware-ul este un stealer cross-platform capabil să ruleze pe Windows, macOS și Linux", a declarat BitDefender într-o postare pe blog.
Malware-ul este conceput pentru a viza portofelele de criptomonede populare prin urmărirea extensiilor de browser specifice asociate cu active criptografice.
O analiză a malware-ului și a metodelor de atac a permis cercetătorilor să lege campania de hackerii nord-coreeni, în special APT38, care a folosit anterior tactici similare, inclusiv liste false de locuri de muncă și cereri frauduloase de locuri de muncă.
Cum funcționează escrocheria
Schema frauduloasă începe cu o ofertă de muncă tentantă pe LinkedIn - colaborarea la dezvoltarea unei burse descentralizate de criptomonede. Odată ce victima își exprimă interesul, i se cere să furnizeze un CV sau un link GitHub, care în sine poate fi exploatat în scopuri frauduloase. Atacatorii partajează apoi un depozit care conține un "produs minim viabil" (MVP) al unui proiect cripto fals.
Victimelor li se trimite, de asemenea, un document cu întrebări la care se poate răspunde numai prin rularea codului demo din depozit. Această acțiune declanșează instalarea de malware, ducând la infectarea dispozitivului.
Utilizatorii LinkedIn și Reddit au raportat deja atacuri similare în care hackerii le-au cerut să cloneze un depozit malițios sau să repare erori din codul acestuia. BitDefender avertizează cu privire la principalele semnale de alarmă, cum ar fi descrierile vagi ale posturilor, depozitele suspecte și comunicarea deficitară, pentru a ajuta utilizatorii să evite să cadă victime acestor înșelătorii.
Între timp, hackerii nord-coreeni continuă să atace bursele de criptomonede, în timp ce SUA și aliații săi iau contramăsuri.
