Hakerzy Wykorzystują Fałszywe Firmy Kryptowalutowe do Rozpowszechniania Złośliwego Oprogramowania w Oszustwach Rekrutacyjnych

Hakerzy z Korei Północnej udają firmy kryptowalutowe, oszukując poszukiwaczy pracy i nakłaniając ich do pobrania złośliwego oprogramowania, które kradnie dane do portfeli podczas fałszywych rozmów kwalifikacyjnych.

Badacze bezpieczeństwa z Silent Push odkryli nową kampanię cyberataków zorganizowaną przez północnokoreańską grupę hakerów znaną jako Contagious Interview, nazywaną również Famous Chollima.

Grupa prowadzi trzy oszukańcze firmy kryptowalutowe – BlockNovas LLC, Angeloper Agency i SoftGlide LLC – aby zwieść poszukujących pracy do instalacji złośliwego oprogramowania.

Schemat zaczyna się od fałszywych ofert pracy na stronach dla freelancerów i rekrutacyjnych, skierowanych do osób poszukujących ról w branży kryptowalut. Kiedy kandydaci odpowiadają, są proszeni o pobranie plików, które rzekomo zawierają materiały do rozmowy kwalifikacyjnej lub zadania z programowania.

Te pliki jednak dostarczają szkodliwe oprogramowanie zidentyfikowane jako BeaverTail, InvisibleFerret i OtterCookie. Malware został zaprojektowany do kradzieży wrażliwych danych, w tym danych uwierzytelniających portfeli kryptowalut.

Aby zwiększyć wiarygodność oszustwa, hakerzy tworzą fałszywe profile pracowników za pomocą obrazów generowanych przez AI. Niektóre z tych zdjęć zostały wyprodukowane za pomocą Remaker AI, narzędzia zaprojektowanego do tworzenia realistycznych portretów.

Trzy oszukańcze firmy – BlockNovas, Angeloper i SoftGlide – prezentują się jako legalne przedsiębiorstwa, ale ich głównym celem jest dystrybucja złośliwego oprogramowania. Ofiary są wprowadzane w błąd i wywołują złośliwe kody podczas tego, co uważają za oceny techniczne lub rozmowy kwalifikacyjne.

Hakerzy polegają na platformach takich jak GitHub, rynkach dla freelancerów i tablicach ogłoszeń o pracę, aby dystrybuować złośliwe oprogramowanie i zarządzać swoimi działaniami.

Strategia ataku wpisuje się w wzorzec widoczny w przeszłych operacjach przeprowadzanych przez Contagious Interview, podgrupę północnokoreańskiego zespołu Lazarus, wspieranego przez państwo. Znany z korzystania z fałszywych ofert pracy i generowanych przez AI postaci, Lazarus wykorzystuje sieci proxy i VPN, aby ukryć swoją lokalizację podczas ataków na osoby na całym świecie.

Aby chronić się przed takimi atakami, eksperci radzą osobom szukającym pracy, aby były ostrożne wobec ofert wymagających pobierania nieznanych plików lub wykonywania kodu. Istotne jest również sprawdzenie legalności firm przed przystąpieniem do rozmów kwalifikacyjnych oraz korzystanie z aktualnego oprogramowania zabezpieczającego.

Jeden z programistów opowiedział o swoim doświadczeniu: „Chciałam podzielić się tym, jak wczoraj został zhackowany mój portfel MetaMask, jako przestrogę.”

„Otrzymałam nowy projekt przez Freelancer.com. Klient miał odznakę ‚płatność zweryfikowana’, więc założyłam, że są wiarygodni. Projekt dotyczył tworzenia backendu web3, który byłam pewna, że poradzę sobie,” kontynuowała.

„Po zaakceptowaniu umowy, klient zaprosił mnie do swojego projektu na GitLabie i poprosił o uruchomienie ich kodu backendowego. Niedługo po uruchomieniu go, zdałam sobie sprawę, że mój portfel MetaMask został skompromitowany,” ostrzegała programistka.