Des pirates informatiques nord-coréens utilisent de faux entretiens d'embauche pour infecter les développeurs avec des logiciels malveillants multiplateformes

Les pirates nord-coréens ont trouvé un moyen astucieux de cibler les développeurs de logiciels : les faux entretiens d'embauche. Cette méthode insidieuse est conçue pour inciter les chercheurs d'emploi du secteur technologique à télécharger des logiciels malveillants qui compromettent à la fois leur sécurité et leurs systèmes. Des chercheurs en sécurité ont observé cette campagne, répertoriée sous le numéro CL-STA-0240 et connue sous le nom de « Contagious Interview », dans laquelle des pirates se font passer pour des employeurs potentiels sur des plateformes d'emploi.

Cette opération a été révélée par un rapport de l'unité 42 de Palo Alto Networks. Elle a été révélée pour la première fois en novembre 2023, révélant que les cybercriminels utilisent des versions mises à jour de deux familles de malwares : BeaverTail et InvisibleFerret.

Comment se déroule l'attaque

Le premier contact se fait sur les plateformes de recherche d’emploi, où les pirates nord-coréens, se faisant passer pour des recruteurs, contactent les développeurs de logiciels. Ils organisent des entretiens d’embauche en ligne et gagnent la confiance de leurs victimes en imitant des processus de recrutement légitimes. Au cours de ces soi-disant entretiens, les pirates convainquent les développeurs de télécharger ce qu’ils prétendent être un devoir de codage ou d’autres documents liés au travail. À l’insu de la victime, ces téléchargements contiennent des logiciels malveillants.

Le processus d'infection commence avec le téléchargeur BeaverTail, un malware de vol d'informations ciblant à la fois les systèmes Windows et macOS. BeaverTail agit comme un pont vers une deuxième étape plus dangereuse du malware : la porte dérobée InvisibleFerret, basée sur le langage de programmation Python. Malgré la notoriété publique de cette opération, des rapports récents suggèrent que les pirates informatiques à l'origine de cette campagne continuent de connaître du succès en incitant les développeurs à exécuter sans le savoir du code malveillant.

Les logiciels malveillants multiplateformes sont le cauchemar des développeurs

Une analyse plus approfondie réalisée par des experts en cybersécurité comme Patrick Wardle et Group-IB montre à quel point cette menace est vaste. Ces attaquants utilisent de fausses applications de visioconférence, telles que des imitations de MiroTalk et FreeConference.com, pour infiltrer les systèmes. Ces fausses applications sont développées à l’aide de Qt, un framework populaire qui permet la compilation croisée sur différentes plateformes, notamment Windows et macOS.

La version de BeaverTail basée sur Qt ne se limite pas à une seule fonction. Elle a la capacité de voler les mots de passe des navigateurs, ainsi que les données des portefeuilles de cryptomonnaies, ce qui la rend particulièrement dangereuse. Elle exfiltre les données vers un serveur contrôlé par des pirates, ce qui permet aux cybercriminels d'accéder à des informations personnelles et financières sensibles.

Après que BeaverTail a fait sa part, il installe InvisibleFerret, qui est capable d'activités bien plus destructrices. Ce malware comprend deux composants critiques :

  1. Une charge utile principale conçue pour le contrôle à distance, l'enregistrement des frappes, l'empreinte digitale du système infecté et même le téléchargement d'outils de bureau à distance.
  2. Un voleur de navigateur , qui extrait les informations d'identification du navigateur, y compris les noms d'utilisateur, les mots de passe et même les informations de carte de crédit stockées.

La motivation financière derrière les attaques

Les cybercriminels nord-coréens sont depuis longtemps associés à des cybercrimes à motivation financière, utilisant souvent ces gains illicites pour soutenir le régime. Unit 42 suggère que cette campagne particulière pourrait également avoir une forte motivation financière, en particulier compte tenu de la capacité du logiciel malveillant à voler 13 portefeuilles de cryptomonnaie différents.

En utilisant des outils capables de récupérer des actifs précieux tels que des cryptomonnaies, des identifiants de navigateur et même un accès à distance, les pirates pourraient potentiellement siphonner d'importantes sommes d'argent. Les cyberattaques à motivation financière, comme celle-ci, sont la pierre angulaire de la stratégie de la Corée du Nord pour échapper aux sanctions internationales et financer ses opérations gouvernementales.

Se protéger en tant que développeur

La multiplication des cyberattaques via de faux entretiens d'embauche signale un changement inquiétant dans la manière dont les pirates ciblent les développeurs et la communauté technologique au sens large. Voici quelques mesures à prendre pour rester en sécurité :

  • Vérifiez les recruteurs : vérifiez toujours l'identité des recruteurs ou des employeurs qui vous contactent. Une simple recherche sur LinkedIn ou une visite sur le site officiel de l'entreprise peut vous aider à confirmer si l'offre est authentique.
  • Soyez prudent avec les téléchargements : ne téléchargez jamais de fichiers provenant d'une source non fiable, surtout s'ils proviennent d'une plateforme ou d'un individu que vous n'avez pas vérifié.
  • Utilisez des mesures de sécurité strictes : maintenez votre antivirus et votre logiciel de détection de logiciels malveillants à jour. Pensez à utiliser des outils de communication chiffrés et de sandboxing lorsque vous interagissez avec des entités inconnues en ligne.
  • Surveillez les portefeuilles de cryptomonnaies : si vous utilisez des cryptomonnaies, soyez particulièrement vigilant. Utilisez des portefeuilles dotés de fonctions de sécurité renforcées et surveillez de près les transactions pour détecter toute activité suspecte.

Conclusion

L’utilisation de faux entretiens d’embauche par des pirates nord-coréens pour diffuser des logiciels malveillants est un rappel effrayant de la créativité et de la dangerosité des cybercriminels. Les attaques ciblant à la fois les plateformes Windows et macOS, personne n’est vraiment à l’abri de ces menaces. Les développeurs, en particulier, doivent être en état d’alerte, car les pirates continuent d’exploiter le processus de recherche d’emploi pour voler des données sensibles et des actifs financiers. Rester informé, vigilant et préparé est essentiel pour se protéger dans cette nouvelle ère de cybercriminalité.

Par Zane
October 9, 2024
Computer Security
Français
October 9, 2024
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.