Freelance softverski programeri postali su meta kontinuirane kampanje koja koristi lažne poslovne intervjue kao mamac za instalaciju malvera BeaverTail i InvisibleFerret, dizajniranih za više operativnih sistema.
Ova aktivnost, povezana sa Sjevernom Korejom, dobila je kodni naziv DeceptiveDevelopment, a preklapa se s grupama praćenim pod imenima Contagious Interview (CL-STA-0240), DEV#POPPER, Famous Chollima, PurpleBravo i Tenacious Pungsan. Kampanja traje najmanje od kraja 2023. godine.
U novembru 2024., ESET je potvrdio da postoji povezanost između DeceptiveDevelopment i Contagious Interview, klasifikujući ga kao novu aktivnost grupe Lazarus, koja je poznata po krađi kriptovaluta.
Kako Funkcioniše Napad?
Napadi započinju kreiranjem lažnih profila regrutera na društvenim mrežama, koji potom stupaju u kontakt sa potencijalnim žrtvama i dijele zaražene kodove na GitHub-u, GitLab-u ili Bitbucket-u.
Žrtve su pozvane da rade na “testnim zadacima” koji uključuju popravke bugova ili dodavanje novih funkcionalnosti u kripto-projekte. Lažni projekti često izgledaju kao:
- Kriptovalutni projekti
- Igre s blockchain funkcijama
- Aplikacije za klađenje sa podrškom za kriptovalute
U većini slučajeva, maliciozni kod je ubačen kao jedna linija unutar legitimne aplikacije.
Još jedna taktika uključuje prevaru kroz instalaciju lažnih video konferencijskih platformi, kao što su MiroTalk ili FreeConference, koje su zapravo nosioci malvera.
Šta rade malveri BeaverTail i InvisibleFerret?
Oba malvera imaju mogućnosti krađe podataka, ali BeaverTail služi i kao downloader za InvisibleFerret.
BeaverTail dolazi u dvije verzije:
- JavaScript verzija – ubačena u trojanizovane projekte
- Qt verzija – maskirana kao softver za video konferencije
InvisibleFerret je modularni Python malver koji preuzima i pokreće tri dodatna modula:
- pay – djeluje kao backdoor i može:
- Prikupljati podatke i slati ih napadačima
- Bilježiti pritiske tipki (keylogging)
- Kopirati sadržaj clipboarda
- Izvršavati shell komande
- Krađi fajlova i podataka sa diskova
- Instalirati AnyDesk i modul za pretraživače
- Pristupiti podacima iz ekstenzija i menadžera lozinki
- bow – krade prijavne podatke, autofill podatke i informacije o plaćanju iz pretraživača baziranih na Chromium-u, uključujući Chrome, Brave, Opera, Yandex i Edge.
- adc – omogućava trajni pristup sistemu tako što instalira AnyDesk za daljinsku kontrolu.
Koga hakeri ciljaju?
Glavne mete su programeri koji rade na kriptovalutama i DeFi projektima širom svijeta, sa značajnim brojem žrtava u:
- Finska
- Indija
- Italija
- Pakistan
- Španija
- Južna Afrika
- Rusija
- Ukrajina
- SAD
Napadači ne prave razliku po geografskom položaju, već žele da zaraze što više korisnika kako bi povećali šanse za krađu sredstava i podataka.
Sjevernokorejska prevara sa poslovima
Lažni oglasi za posao su poznata taktika sjevernokorejskih hakerskih grupa, poput Operation Dream Job.
Pored ovih napada, postoje dokazi da su isti akteri uključeni u prevaru sa lažnim IT radnicima. Ova šema podrazumijeva da sjevernokorejski državljani apliciraju za poslove u inostranstvu koristeći lažne identitete, kako bi primali plate i tako finansirali državni režim.
Postoje dokazi na GitHub-u koji povezuju napadače sa lažnim CV-ovima sjevernokorejskih IT radnika, ali su neke od tih stranica u međuvremenu uklonjene.
U početku su koristili primitivne metode, ali su s vremenom prešli na sofisticiraniji malver i naprednije tehnike prevara kako bi obmanuli žrtve i uspješno distribuirali malver.
Izvor:The Hacker News