Gli hacker nordcoreani usano falsi colloqui di lavoro per infettare gli sviluppatori con malware multipiattaforma

Gli autori di minacce nordcoreane hanno trovato un modo astuto per colpire gli sviluppatori di software: falsi colloqui di lavoro. Questo metodo insidioso è progettato per indurre ignari candidati nel settore tecnologico a scaricare malware che comprometta sia la loro sicurezza che i loro sistemi. I ricercatori di sicurezza hanno osservato questa campagna, tracciata come CL-STA-0240 e nota come "Contagious Interview", in cui gli hacker si atteggiano a potenziali datori di lavoro su piattaforme di lavoro.

Questa operazione è venuta alla luce tramite un rapporto dell'Unità 42 di Palo Alto Networks. È stata divulgata per la prima volta a novembre 2023, rivelando che i criminali informatici stanno utilizzando versioni aggiornate di due famiglie di malware: BeaverTail e InvisibleFerret.

Come si svolge l'attacco

Il primo punto di contatto avviene sulle piattaforme di ricerca lavoro, dove gli hacker nordcoreani, fingendosi reclutatori, contattano gli sviluppatori di software. Organizzano colloqui di lavoro online, guadagnandosi la fiducia delle loro vittime imitando processi di assunzione legittimi. Durante questi cosiddetti colloqui, gli hacker convincono gli sviluppatori a scaricare quello che affermano essere un compito di codifica o altro materiale correlato al lavoro. All'insaputa della vittima, questi download contengono software dannoso.

Il processo di infezione inizia con il downloader BeaverTail, un malware che ruba informazioni e che prende di mira sia i sistemi Windows che macOS. BeaverTail funge da ponte per una seconda fase di malware più pericolosa: la backdoor InvisibleFerret, basata sul linguaggio di programmazione Python. Nonostante la consapevolezza pubblica di questa operazione, recenti report suggeriscono che gli hacker dietro questa campagna continuano a riscuotere successo ingannando gli sviluppatori inducendoli a eseguire inconsapevolmente codice dannoso.

Il malware multipiattaforma è l'incubo degli sviluppatori

Un'analisi più approfondita condotta da esperti di sicurezza informatica come Patrick Wardle e Group-IB mostra quanto sia vasta questa minaccia. Questi aggressori utilizzano applicazioni di videoconferenza false, come imitazioni di MiroTalk e FreeConference.com, per infiltrarsi nei sistemi. Queste applicazioni fasulle vengono sviluppate utilizzando Qt, un framework popolare che consente la compilazione incrociata su diverse piattaforme, tra cui Windows e macOS.

La versione di BeaverTail basata su Qt non è limitata a una sola funzione. Ha la capacità di rubare le password del browser, così come i dati dai wallet di criptovaluta, il che lo rende particolarmente pericoloso. Estrae i dati su un server controllato dagli hacker, dando ai criminali informatici accesso a informazioni personali e finanziarie sensibili.

Dopo che BeaverTail ha fatto la sua parte, installa InvisibleFerret, che è capace di attività molto più distruttive. Questo malware include due componenti critici:

1. Un payload principale progettato per il controllo remoto, il keylogging, l'impronta digitale del sistema infetto e persino il download di strumenti per desktop remoto.
2. Un browser stealer che estrae le credenziali del browser, tra cui nomi utente, password e persino le informazioni memorizzate sulle carte di credito.

Motivazione finanziaria dietro gli attacchi

Gli attori delle minacce nordcoreane sono stati a lungo associati a crimini informatici motivati finanziariamente, spesso utilizzando questi guadagni illeciti per supportare il regime. Unit 42 suggerisce che questa particolare campagna potrebbe avere anche un forte movente finanziario, soprattutto considerando la capacità del malware di rubare da 13 diversi wallet di criptovaluta .

Utilizzando strumenti in grado di raccogliere asset preziosi come criptovaluta, credenziali del browser e persino accesso remoto, gli hacker potrebbero potenzialmente sottrarre grandi somme di denaro. Gli attacchi informatici motivati finanziariamente, come questo, sono una pietra angolare della strategia della Corea del Nord per eludere le sanzioni internazionali e finanziare le sue operazioni governative.

Proteggersi come sviluppatore

L'aumento degli attacchi informatici tramite falsi colloqui di lavoro segnala un preoccupante cambiamento nel modo in cui gli hacker prendono di mira gli sviluppatori e la più ampia comunità tecnologica. Ecco alcuni passaggi per restare al sicuro:

• Verifica i reclutatori : controlla sempre l'identità dei reclutatori o dei datori di lavoro che ti contattano. Una semplice ricerca su LinkedIn o una visita al sito Web ufficiale dell'azienda possono aiutarti a confermare se l'offerta è autentica.
• Fai attenzione ai download : non scaricare mai file da una fonte non attendibile, soprattutto se provengono da una piattaforma o da un individuo che non hai verificato.
• Utilizza misure di sicurezza efficaci : mantieni aggiornati il tuo antivirus e il software di rilevamento malware. Considera di utilizzare strumenti di comunicazione crittografati e sandbox quando interagisci con entità sconosciute online.
• Monitora i portafogli crittografici : se sei coinvolto nella criptovaluta, sii particolarmente vigile. Utilizza portafogli con forti funzionalità di sicurezza e monitora attentamente le transazioni per qualsiasi attività sospetta.

Conclusione

L'uso di falsi colloqui di lavoro da parte di hacker nordcoreani per diffondere malware è un agghiacciante promemoria di quanto creativi e pericolosi possano essere i criminali informatici. Con attacchi che prendono di mira sia le piattaforme Windows che macOS, nessuno è veramente al sicuro da queste minacce. Gli sviluppatori, in particolare, dovrebbero essere in allerta, poiché gli hacker continuano a sfruttare il processo di ricerca di lavoro per rubare dati sensibili e asset finanziari. Rimanere informati, vigili e preparati è fondamentale per proteggersi in questa nuova era di criminalità informatica.