Najmanje 230 osoba bilo je meta sjevernokorejskih hakera u napadima koji su se predstavljali kao intervjui za poslove vezane za kriptovalute, saopštili su SentinelOne i Validin.
U nastavku kampanje Contagious Interview, koja je počela 2022. godine i koristila tehniku ClickFix početkom 2025, hakeri predstavljali su se kao regruteri i pozivali žrtve na lažne intervjue povezane sa kriptovalutama.
Napadači su napravili desetine lažnih sajtova i predstavljali se kao različite centralizovane i decentralizovane finansijske kompanije, šaljući stotine pozivnica za razgovore sa ništa nesumnjajućim žrtvama. Firma Sekoia, specijalizovana za otkrivanje prijetnji, pronašla je 184 različite pozivnice.
Nakon što bi razmijenili nekoliko poruka o navodnom poslu, kandidati bi bili pozvani na sajt pod kontrolom napadača gdje bi morali da završe “test vještina”.
Sajt je, međutim, bio dizajniran da kompromituje sistem žrtve malicioznim softverom koristeći tehniku ClickFix: prikazivala bi se lažna poruka o grešci, kojom se žrtva navodi da kopira i zalijepi komande u komandnu liniju.
Prema SentinelLabs-u, najmanje 230 osoba bilo je ciljano ovakvim napadima između januara i marta 2025, ali se procjenjuje da je stvarni broj znatno veći.
Hakeri su se predstavljali kao kompanije poput Archblock, Robinhood i eToro, a lažne pozicije su uključivale Portfolio Managera, Investment Managera i Senior Product Managera. Najviše su ciljali ljude povezane sa kriptovalutama i blockchain tehnologijama.
Od marta, SentinelLabs i Validin primijetili su da hakeri proučavaju sajber obavještajne podatke o svojoj infrastrukturi i prave minimalne izmjene kako bi izbjegli otkrivanje.
„Primijetili smo da su akteri kampanje Contagious Interview djelovali koordinisano i vjerovatno u timovima, istražujući obavještajne podatke vezane za svoju infrastrukturu i prateći znakove otkrivanja. Indikatori sugerišu da su koristili više repozitorijuma kompromitovanih indikatora (IOC) i CTI platformi, uključujući Validin, VirusTotal i Maltrail,“ navode iz SentinelLabs-a.
Pretpostavlja se da su hakeri koristili Slack za koordinaciju svojih istraga. Viđeni su kako procjenjuju novu infrastrukturu prije nego što je kupe, ali nisu pravili velike promjene na postojećoj, vjerovatno zbog internih ograničenja.
Lažni intervjui nisu jedini oblik socijalnog inženjeringa kojim su sjevernokorejski hakeri ciljali industriju decentralizovanih finansija.
Kako je otkrila NCC Group, u jednom napadu hakeri su se predstavljali kao zaposleni u investicionim institucijama na Telegramu, a vjerovatno su iskoristili i Chrome zero-day ranjivost da bi dobili trajni pristup mreži jedne DeFi organizacije nakon što su kompromitovali uređaj zaposlenog.
NCC Group je identifikovao više alata korišćenih u upadu, uključujući program za povremeno pravljenje snimaka ekrana, keylogger, alat za izvlačenje podataka iz Chromium pretraživača, MidProxy proxy alat, Mimikatz, Proxy Mini i Fast Reverse Proxy klijent.
Pored toga, hakeri su koristili PondRAT i ThemeForestRAT backdoore za uporan daljinski pristup kompromitovanoj mreži, ali su ih nekoliko mjeseci kasnije zamijenili naprednijim RAT RemotePE.
Izvor: SecurityWeek
