Lazarus Group bilgisayar korsanları LinkedIn üzerinden kripto yatırımcılarını hedef alıyor
Hackerlar LinkedIn'i kullanıyor
Lazarus Group'a bağlı Kuzey Koreli bilgisayar korsanları LinkedIn'deki sahte iş ilanlarını kullanarak geniş çaplı bir kampanya yürütüyor. İş arayanların tarayıcı kimlik bilgilerini çalıyor, kripto para cüzdanlarını hackliyor ve virüs bulaşmış cihazlara kalıcı erişim sağlıyorlar.
BitDefender Labs'a göre, saldırganlar LinkedIn üzerinden sahte iş teklifleriyle kurbanlara ulaşıyor ve onları uzak bir sunucudan kötü amaçlı bir JavaScript hırsızı indirip çalıştırmaları için kandırıyor.
BitDefender bir blog yazısında, "Araştırmacılarımız kötü amaçlı yazılımın Windows, macOS ve Linux üzerinde çalışabilen çapraz platformlu bir hırsız olduğunu keşfetti" dedi.
Kötü amaçlı yazılım, kripto varlıklarla ilişkili belirli tarayıcı uzantılarını izleyerek popüler kripto para cüzdanlarını hedef almak üzere tasarlanmıştır.
Kötü amaçlı yazılım ve saldırı yöntemlerinin analizi, araştırmacıların kampanyayı Kuzey Koreli bilgisayar korsanlarıyla, özellikle de daha önce sahte iş ilanları ve sahte iş başvuruları da dahil olmak üzere benzer taktikler kullanan APT38 ile ilişkilendirmelerini sağladı.
Dolandırıcılık nasıl işliyor
Dolandırıcılık planı, LinkedIn'de merkezi olmayan bir kripto para borsasının geliştirilmesinde işbirliği yapmak gibi cazip bir iş teklifiyle başlıyor. Kurban ilgisini ifade ettikten sonra, kendisinden dolandırıcılık amacıyla yararlanılabilecek bir özgeçmiş veya GitHub bağlantısı vermesi isteniyor. Saldırganlar daha sonra sahte bir kripto projesinin "minimum uygulanabilir ürününü" (MVP) içeren bir depoyu paylaşıyor.
Mağdurlara ayrıca, yalnızca depodaki demo kodunu çalıştırarak yanıtlanabilecek sorular içeren bir belge gönderilir. Bu eylem kötü amaçlı yazılımın yüklenmesini tetikleyerek cihazın etkilenmesine yol açıyor.
LinkedIn ve Reddit kullanıcıları, bilgisayar korsanlarının kendilerinden kötü amaçlı bir depoyu klonlamalarını veya kodundaki hataları düzeltmelerini istedikleri benzer saldırıları daha önce bildirmişlerdi. BitDefender, kullanıcıların bu dolandırıcılıkların kurbanı olmaktan kaçınmalarına yardımcı olmak için belirsiz iş tanımları, şüpheli depolar ve zayıf iletişim gibi önemli kırmızı bayraklar konusunda uyarıyor.
Bu arada, Kuzey Koreli bilgisayar korsanları kripto para borsalarına saldırmaya devam ederken, ABD ve müttefikleri karşı önlemler alıyor.
