Az észak-koreai hackerek hamis állásinterjúkkal fertőzik meg a fejlesztőket platformok közötti rosszindulatú programokkal

Az észak-koreai fenyegetés szereplői ravasz módszert találtak a szoftverfejlesztők megcélzására: hamis állásinterjúkat. Ezt az alattomos módszert arra tervezték, hogy a technológiai ipar gyanútlan álláskeresőit rávegye a biztonságukat és rendszereiket egyaránt veszélyeztető kártevő letöltésére. Biztonsági kutatók megfigyelték ezt a kampányt, amelyet CL-STA-0240 néven és "Fertőző interjúként" ismernek, és ahol a hackerek potenciális munkaadóként adják ki magukat a munkaplatformokon.

Ez a művelet a Palo Alto Networks 42-es osztályának jelentéséből derült ki. Először 2023 novemberében hozták nyilvánosságra, és kiderült, hogy a kiberbűnözők két rosszindulatú programcsalád frissített verzióját használják: a BeaverTail és az InvisibleFerret.

Hogyan bontakozik ki a támadás

Az első kapcsolatfelvétel az álláskereső platformokon történik, ahol az észak-koreai hackerek toborzónak adják ki magukat a szoftverfejlesztőknek. Online állásinterjúkat szerveznek, a törvényes felvételi folyamatok utánzásával elnyerve áldozataik bizalmát. Az úgynevezett interjúk során a hackerek meggyőzik a fejlesztőket, hogy töltsenek le egy kódolási feladatot vagy más munkával kapcsolatos anyagot. Az áldozat tudta nélkül ezek a letöltések rosszindulatú szoftvereket tartalmaznak.

A fertőzési folyamat a BeaverTail letöltővel kezdődik, amely egy információlopó rosszindulatú program, amely Windows és macOS rendszereket is megcéloz. A BeaverTail hídként működik a rosszindulatú programok veszélyesebb második szakaszában: a Python programozási nyelven alapuló InvisibleFerret hátsó ajtóban. Annak ellenére, hogy a közvélemény tisztában van ezzel a művelettel, a legújabb jelentések azt sugallják, hogy a kampány mögött álló hackerek továbbra is sikereket érnek el azáltal, hogy ráveszik a fejlesztőket, hogy tudtukon kívül rosszindulatú kódot hajtsanak végre.

A platformok közötti rosszindulatú program a fejlesztők rémálma

A kiberbiztonsági szakértők, például Patrick Wardle és a Group-IB mélyebb elemzése megmutatja, hogy ez a fenyegetés mekkora horderejű. Ezek a támadók hamis videokonferencia-alkalmazásokat – például a MiroTalk és a FreeConference.com megszemélyesítését – használnak a rendszerekbe való behatolásra. Ezeket a hamis alkalmazásokat a Qt segítségével fejlesztették ki, amely egy népszerű keretrendszer, amely lehetővé teszi a keresztfordítást különböző platformokon, beleértve a Windowst és a macOS-t is.

A BeaverTail Qt-alapú verziója nem csak egy funkcióra korlátozódik. Képes ellopni a böngésző jelszavait, valamint a kriptovaluta pénztárcák adatait, így különösen veszélyes. Kiszivárogtatja az adatokat egy hacker által vezérelt szerverre, így a kiberbűnözők hozzáférhetnek érzékeny személyes és pénzügyi információkhoz.

Miután a BeaverTail megtette a részét, telepíti az InvisibleFerret-et, amely sokkal pusztítóbb tevékenységre képes. Ez a rosszindulatú program két kritikus összetevőt tartalmaz:

1. A fő hasznos teher a távvezérléshez, a billentyűnaplózáshoz, a fertőzött rendszer ujjlenyomatának levételéhez és még a távoli asztali eszközök letöltéséhez is.
2. Böngészőlopó , amely kivonja a böngésző hitelesítő adatait, beleértve a felhasználóneveket, jelszavakat és még a tárolt hitelkártyaadatokat is.

Pénzügyi motiváció a támadások mögött

Az észak-koreai fenyegetettség szereplőit régóta hozzák összefüggésbe a pénzügyi indíttatású kiberbűnözésekkel, gyakran a rezsim támogatására használják fel ezeket az illegális előnyöket. A 42. rész azt sugallja, hogy ennek a kampánynak erős pénzügyi indítéka is lehet, különös tekintettel arra, hogy a rosszindulatú program 13 különböző kriptovaluta pénztárcából képes ellopni.

Ha olyan eszközöket használnak, amelyek értékes eszközöket, például kriptovalutát, böngésző hitelesítő adatokat és akár távoli hozzáférést is gyűjthetnek, a hackerek potenciálisan nagy összegeket szippanthatnak el. A pénzügyileg motivált kibertámadások, mint ez a mostani is, Észak-Korea azon stratégiájának sarokkövét jelentik, hogy kikerülje a nemzetközi szankciókat és finanszírozza kormányzati műveleteit.

Védje magát fejlesztőként

A hamis állásinterjúkon keresztül történő kibertámadások számának növekedése aggasztó változást jelez abban, ahogy a hackerek célba veszik a fejlesztőket és a szélesebb technológiai közösséget. Íme néhány lépés a biztonság megőrzéséhez:

• A toborzók ellenőrzése : Mindig ellenőrizze az Önnel felkereső toborzók vagy munkaadók kilétét. Egy egyszerű LinkedIn-keresés vagy a cég hivatalos webhelyének felkeresése segíthet meggyőződni arról, hogy az ajánlat valódi-e.
• Legyen óvatos a letöltésekkel : Soha ne töltsön le fájlokat nem megbízható forrásból, különösen, ha olyan platformról vagy személytől származnak, amelyet nem igazolt.
• Használjon erős biztonsági intézkedéseket : Tartsa naprakészen víruskereső és rosszindulatú programok észlelő szoftverét. Fontolja meg a titkosított kommunikációs és sandbox-eszközök használatát, amikor ismeretlen entitásokkal kommunikál online.
• Figyelje a kriptopénzeket : Ha kriptovalutákkal foglalkozik, legyen különösen éber. Használjon erős biztonsági funkciókkal rendelkező pénztárcákat, és gondosan figyelje a tranzakciókat minden gyanús tevékenység miatt.

Következtetés

Az, hogy észak-koreai hackerek hamis állásinterjúkat használnak rosszindulatú programok terjesztésére, dermesztő emlékeztető arra, hogy a kiberbűnözők mennyire kreatívak és veszélyesek. A Windows és a macOS platformokat egyaránt megcélzó támadásokkal senki sincs igazán biztonságban ezektől a fenyegetésektől. Különösen a fejlesztőknek kell fokozottan ébernek lenniük, mivel a hackerek továbbra is kihasználják az álláskeresési folyamatot érzékeny adatok és pénzügyi eszközök ellopására. A tájékozottság, éberség és felkészültség kulcsfontosságú ahhoz, hogy megvédje magát a kiberbűnözés ezen új korszakában.