Hakerzy z Korei Północnej Korzystają z Fałszywych Ofert Pracy na LinkedIn

Północnokoreańscy cyberprzestępcy wykorzystują LinkedIn do celowania w programistów za pośrednictwem fałszywych ofert rekrutacyjnych, jak donosi dzisiaj Hacker News. Atakujący wykorzystują testy kodowania jako początkową metodę infekowania ofiar, co podkreślił raport Google’owskiego Mandianta.

Schematy rekrutacyjne z Korei Północnej były szeroko wykorzystywane do dostarczania złośliwego oprogramowania, w tym fałszywych aplikacji do wideokonferencji, celując w poszukujących pracy na platformach takich jak LinkedIn i Upwork. Po nawiązaniu pierwszego kontaktu, hakerzy kierują ofiary do pobrania złośliwego oprogramowania za pośrednictwem aplikacji do komunikacji, takich jak Telegram.

Badacze z Mandiant wyjaśnili, że niedawne napady na giełdy kryptowalut są związane z szerszym schematem manipulacji społecznej. W tych schematach, deweloperzy są kontaktowani pod pretekstem oferty pracy.

Pokazują przykład inżyniera, który otrzymał plik ZIP zawierający złośliwe oprogramowanie przebrane za zadanie z programowania w Pythonie, kompromitując system macOS użytkownika za pomocą wtórnego złośliwego oprogramowania. To złośliwe oprogramowanie utrzymywało się poprzez agenty uruchamiające macOS, dodatkowo narażając system użytkownika.

Te taktyki nie są ograniczone tylko do deweloperów. Profesjonaliści z branży finansowej również stali się celem ataków. W jednym z incydentów, Mandiant zaobserwował złośliwy PDF wysłany jako część fałszywej oferty pracy na stanowisko seniora w giełdzie kryptowalut.

PDF zainstalował RUSTBUCKET, malware typu backdoor, który zbiera dane systemu i uruchamia pliki. Pozostawał aktywny, podając się za „Aktualizację Safari” i łączył się z serwerem sterowania i kontroli.

Zgodnie z informacjami FBI, tego typu ataki cybernetyczne są starannie planowane. Hakerzy wykorzystują informacje osobiste i budują relacje z ofiarami, aby ich plany były bardziej przekonujące. Po nawiązaniu kontaktu, atakujący mogą spędzić znaczną ilość czasu na nawiązywaniu relacji z celami, aby zbudować zaufanie.

Aby złagodzić te ryzyka, FBI sugeruje weryfikowanie tożsamości kontaktów za pomocą różnych platform, unikanie przechowywania informacji o portfelach kryptowalut na urządzeniach podłączonych do internetu i korzystanie z maszyn wirtualnych do przeprowadzania testów przed zatrudnieniem. Zalecają również blokowanie nieautoryzowanych pobrań i ograniczanie dostępu do wrażliwych informacji.

Jeśli podejrzewasz, że twoja firma została zaatakowana, FBI zaleca odłączenie dotkniętych urządzeń od internetu i złożenie szczegółowej skargi do Centrum Zgłoszeń o Przestępstwach Internetowych FBI.