Severokorejští kyberzločinci cílí na uchazeče o zaměstnání s falešnou aplikací FreeConference
Zpět na blogSeverokorejští hackeři spustili novou kampaň, při níž využívají falešnou video konferenční aplikaci FreeConference.com k infikování systémů vývojářů. Tento útok je součástí širší kampaně s názvem Contagious Interview, kterou odhalila bezpečnostní společnost Group-IB v polovině srpna 2024.
Kampaň Contagious Interview, známá také jako DEV#POPPER, využívá podvodné metody, kdy útočníci fingují pracovní pohovory a lákají uchazeče o zaměstnání, aby si stáhli a spustili Node.js projekt obsahující malware.
Původně bylo toto nebezpečné chování maskováno jako falešný software pro video konferenci MiroTalk. V posledních měsících však útočníci změnili taktiku a používají falešné instalační balíčky imitující známou službu FreeConference.com.
Skupina Lazarus, která tyto kampaně provozuje, hledá potenciální oběti na různých pracovních platformách, včetně LinkedInu, Upworku a dalších. Poté, co útočníci navážou kontakt, často přesouvají komunikaci na platformu Telegram, kde uchazečům navrhují stažení video konferenční aplikace nebo projektu, který má údajně posloužit pro technické úkoly během pohovoru. Tento podvod pak slouží jako záminka k nasazení malwaru na jejich zařízení.
Útok se stal ještě sofistikovanějším od července 2024, kdy byly objeveny instalační balíčky pro Windows a macOS, které vydávaly falešné aplikace za legitimní software. Falešný instalační balíček FCCCall.msi nyní napodobuje FreeConference.com místo MiroTalku.
Novější verze malwaru BeaverTail navíc cílí na uživatele kryptoměnových peněženek, včetně rozšíření pro Kaikas, Rabby a Exodus Web3. Kromě toho malware získal schopnost získávat data z aplikací, jako jsou Microsoft Sticky Notes, tím, že přistupuje k nešifrovaným databázím uloženým na zařízení oběti.
Nové zjištění ukazuje, že útočníci mění svou taktiku, aby rozšířili své aktivity. Zaznamenány byly případy, kdy škodlivý kód byl injektován do repositářů spojených s kryptoměnami a herními projekty.
Modulární struktura malwaru, který se nyní označuje jako CivetQ, dokazuje, že severokorejští útočníci pravidelně aktualizují své nástroje a neustále zlepšují jejich efektivitu. Tento malware je také schopen krást citlivá data z prohlížečů, jako jsou cookies, klávesové záznamy nebo obsah schránky, což umožňuje útočníkům neustále vylepšovat své operace.
FBI nedávno vydala varování před sofistikovanými sociotechnickými útoky vedenými severokorejskými aktéry, kteří se zaměřují na firmy spojené s kryptoměnami a decentralizovanými financemi (DeFi). Útočníci často využívají dobře maskované útoky, aby kompromitovali zaměstnance a získali neoprávněný přístup do jejich sítí.
Tento nový typ útoků ukazuje, jak kreativní a přizpůsobiví jsou kyberzločinci, kteří neustále hledají nové způsoby, jak proniknout do podnikových systémů.
Zdroj: The Hacker News
Zdroj ilustračního obrázku: Dylan Ferreira on Unsplash
19. 9. 2024