Хакеры из Lazarus Group атакуют криптоинвесторов через LinkedIn
Хакеры используют LinkedIn
Северокорейские хакеры из Lazarus Group проводят масштабную кампанию, используя мошеннические вакансии в LinkedIn. Они крадут у соискателей учетные данные браузеров, взламывают криптовалютные кошельки и обеспечивают себе постоянный доступ к зараженным устройствам.
Как выяснили исследователи BitDefender Labs, злоумышленники связываются с жертвами, отправляя поддельные предложения о работе через LinkedIn, побуждая их загрузить и запустить вредоносный JavaScript-стилер с удаленного сервера.
«Наши специалисты обнаружили, что вредоносная программа представляет собой кроссплатформенный стилер, который может работать на Windows, macOS и Linux», — говорится в блоге BitDefender.
Цель программы – атаковать популярные криптовалютные кошельки, отслеживая специфические расширения браузеров, связанные с криптоактивами.
Анализ вредоносного ПО и методов атаки позволил исследователям связать кампанию с северокорейскими хакерами, в частности с APT38, ранее использовавшими схожие приемы, включая фиктивные вакансии и поддельные заявки на трудоустройство.
Как работает схема
Мошенническая схема начинается с заманчивого сообщения в LinkedIn о работе – создании децентрализованной криптовалютной биржи. После проявления интереса жертву просят отправить резюме или ссылку на GitHub, которые сами по себе могут использоваться в мошеннических целях. Далее злоумышленники передают репозиторий, содержащий "минимальный жизнеспособный продукт" (MVP) фиктивного проекта.
Жертве также отправляется документ с вопросами, которые можно решить только запустив демонстрационный код из репозитория. Этот шаг запускает установку вредоносного ПО, что приводит к заражению устройства.
Пользователи LinkedIn и Reddit уже сообщали о подобных атаках, в которых злоумышленники просили клонировать вредоносный репозиторий или исправить ошибки в его коде. BitDefender предупреждает о ключевых признаках мошенничества, таких как нечеткие описания вакансий, подозрительные репозитории и плохая коммуникация, чтобы помочь пользователям избежать подобных атак.
Тем временем северокорейские хакеры также атакуют криптовалютные биржи, а США и союзники принимают ответные меры.
