Fałszywe maile dotyczące ofert pracy wykorzystywane do rozpowszechniania złośliwego oprogramowania BeaverTail

Nowy cyberatak kierowany jest na osoby szukające pracy, wykorzystując fałszywe e-maile rekrutacyjne do rozprzestrzeniania szkodliwego oprogramowania ukrytego pod postacią nieszkodliwych plików developerskich.

Eksperci ds. cyberbezpieczeństwa z ASEC, którzy pierwsi zidentyfikowali ten złośliwy oprogramowanie, wyjaśniają, że ten incydent jest przykładem rosnącej taktyki, w której atakujący przebierają się za rekruterów lub członków społeczności programistów.

Incydent pojawił się po raz pierwszy 29 listopada 2024 roku, kiedy hakerzy wykorzystali tożsamość Dev.to, aby udawać deweloperów platformy.

Napastnicy wysłali e-maile zawierające linki do repozytorium kodu BitBucket, prosząc użytkowników o przeglądanie projektu. Pliki projektu zawierały ukryte złośliwe oprogramowanie, które było zamaskowane jako zwykłe pliki projektu.

Fałszywe pliki zawierały dwie główne zagrożenia: oparte na JavaScript malware o nazwie BeaverTail, przebrany za plik „tailwind.config.js”, oraz drugi komponent o nazwie car.dll, który działa jako program do pobierania. Po otwarciu, te pliki współpracują ze sobą, aby ukraść dane logowania, dane przeglądarki, a nawet informacje o portfelu kryptowaluty.

„Znane jest, że BeaverTail jest głównie dystrybuowany w atakach typu phishing, przebranych za oferty pracy” – wyjaśnili badacze z ASEC. Poprzednie wersje tego ataku były zauważane na platformach takich jak LinkedIn.

Oprogramowanie szkodliwe stanowi znaczne zagrożenie, ponieważ ukrywa swoje rzeczywiste zamiary, imitując standardowe operacje systemowe. Malware wykorzystuje narzędzia PowerShell i rundll32, które są standardowymi narzędziami Windows, aby uniknąć wykrycia przez oprogramowanie antywirusowe.

Po przeniknięciu do systemu, malware pobiera i uruchamia Tropidoor, który działa jako zaawansowane zaplecze. Narzędzie nawiązuje zaszyfrowane połączenia z serwerami zdalnymi, wykonując jednocześnie ponad 20 różnych poleceń, które obejmują kasowanie plików, wstrzykiwanie kodu programu i przechwytywanie zrzutów ekranu.

„Tropidoor… zbiera podstawowe informacje o systemie i generuje losowy klucz 0x20 bajtów, który jest szyfrowany za pomocą publicznego klucza RSA,” – powiedzieli badacze. Ta bezpieczna połączenie pozwala hakerom kontrolować zainfekowane maszyny bez zwracania na siebie uwagi.

Zespoły bezpieczeństwa apelują do wszystkich o szczególną czujność w tym czasie. Zachowaj ostrożność wobec nieoczekiwanych wiadomości e-mail z propozycjami rekrutacyjnymi, zwłaszcza tych z linkami do repozytoriów kodu lub proszących o pobranie plików projektu. Zawsze sprawdź z oficjalną firmą przed otworzeniem jakiejkolwiek zawartości.