Nordkoreanske hackere bruker falske jobbintervjuer for å infisere utviklere med skadelig programvare på tvers av plattformer

Nordkoreanske trusselaktører har funnet en utspekulert måte å målrette programvareutviklere på: falske jobbintervjuer. Denne lumske metoden er designet for å lokke intetanende jobbsøkere i teknologibransjen til å laste ned skadevare som kompromitterer både sikkerheten og systemene deres. Sikkerhetsforskere har observert denne kampanjen, sporet som CL-STA-0240 og kjent som «Contagious Interview», der hackere utgir seg for å være potensielle arbeidsgivere på jobbplattformer.

Denne operasjonen har kommet frem gjennom en rapport fra Palo Alto Networks' Unit 42. Den ble først avslørt i november 2023, og avslørte at nettkriminelle bruker oppdaterte versjoner av to malware-familier: BeaverTail og InvisibleFerret.

Hvordan angrepet utspiller seg

Det første kontaktpunktet skjer på jobbsøkingsplattformer, der nordkoreanske hackere, som utgir seg for å rekruttere, når ut til programvareutviklere. De arrangerer jobbintervjuer på nett, og vinner tilliten til ofrene sine ved å etterligne legitime ansettelsesprosesser. Under disse såkalte intervjuene overbeviser hackerne utviklerne om å laste ned det de hevder å være en kodeoppgave eller annet arbeidsrelatert materiale. Uvitende offeret inneholder disse nedlastingene skadelig programvare.

Infeksjonsprosessen starter med BeaverTail-nedlasteren, som er en skadelig programvare som stjeler informasjon rettet mot både Windows- og macOS-systemer. BeaverTail fungerer som en bro for et farligere andre stadium av skadelig programvare: InvisibleFerret-bakdøren, som er basert på programmeringsspråket Python. Til tross for offentlig bevissthet om denne operasjonen, tyder nylige rapporter på at hackerne bak denne kampanjen fortsetter å oppleve suksess ved å lure utviklere til ubevisst å utføre ondsinnet kode.

Malware på tvers av plattformer er et mareritt for utviklere

En dypere analyse av cybersikkerhetseksperter som Patrick Wardle og Group-IB viser hvor vidtrekkende denne trusselen er. Disse angriperne bruker falske videokonferanseapplikasjoner – for eksempel etterligninger av MiroTalk og FreeConference.com – for å infiltrere systemer. Disse falske applikasjonene er utviklet ved hjelp av Qt, et populært rammeverk som muliggjør krysskompilering på tvers av forskjellige plattformer, inkludert Windows og macOS.

Den Qt-baserte versjonen av BeaverTail er ikke bare begrenset til én funksjon. Den har muligheten til å stjele nettleserpassord, samt data fra kryptovaluta-lommebøker, noe som gjør det spesielt farlig. Den eksfiltrerer data til en hackerkontrollert server, og gir nettkriminelle tilgang til sensitiv personlig og økonomisk informasjon.

Etter at BeaverTail har gjort sitt, installerer den InvisibleFerret, som er i stand til langt mer destruktiv aktivitet. Denne skadelige programvaren inkluderer to kritiske komponenter:

  1. En hovednyttelast designet for fjernkontroll, tastelogging, fingeravtrykk av det infiserte systemet og til og med nedlasting av eksterne skrivebordsverktøy.
  2. En nettlesertyver , som trekker ut nettleserlegitimasjon, inkludert brukernavn, passord og til og med lagret kredittkortinformasjon.

Økonomisk motivasjon bak angrepene

Nordkoreanske trusselaktører har lenge vært assosiert med økonomisk motiverte nettkriminalitet, og bruker ofte disse ulovlige gevinstene for å støtte regimet. Enhet 42 antyder at denne kampanjen også kan ha et sterkt økonomisk motiv, spesielt med tanke på skadevarens evne til å stjele fra 13 forskjellige kryptovaluta-lommebøker .

Ved å bruke verktøy som kan høste verdifulle eiendeler som kryptovaluta, nettleserlegitimasjon og til og med ekstern tilgang, kan hackerne potensielt ta av seg store pengesummer. Økonomisk motiverte cyberangrep, som dette, er en hjørnestein i Nord-Koreas strategi for å unndra internasjonale sanksjoner og finansiere sine statlige operasjoner.

Beskytt deg selv som utvikler

Fremveksten av cyberangrep via falske jobbintervjuer signaliserer et urovekkende skifte i hvordan hackere retter seg mot utviklere og det bredere teknologisamfunnet. Her er noen trinn for å holde deg trygg:

  • Bekreft rekrutterere : Krysssjekk alltid identiteten til rekrutterere eller arbeidsgivere som tar kontakt med deg. Et enkelt LinkedIn-søk eller et besøk på selskapets offisielle nettside kan hjelpe deg med å bekrefte om tilbudet er ekte.
  • Vær forsiktig med nedlastinger : Last aldri ned filer fra en upålitelig kilde, spesielt hvis de kommer fra en plattform eller person du ikke har verifisert.
  • Bruk sterke sikkerhetstiltak : Hold antivirus- og skadeprogramvaren oppdatert. Vurder å bruke krypterte kommunikasjons- og sandkasseverktøy når du samhandler med ukjente enheter på nettet.
  • Overvåk kryptolommebøker : Hvis du er involvert i kryptovaluta, vær spesielt på vakt. Bruk lommebøker med sterke sikkerhetsfunksjoner og overvåk transaksjoner nøye for mistenkelig aktivitet.

Konklusjon

Bruken av falske jobbintervjuer av nordkoreanske hackere for å spre skadelig programvare er en skremmende påminnelse om hvor kreative og farlige nettkriminelle kan være. Med angrep rettet mot både Windows- og macOS-plattformer, er ingen virkelig trygge fra disse truslene. Spesielt utviklere bør være på vakt, ettersom hackere fortsetter å utnytte jobbsøkingsprosessen for å stjele sensitive data og økonomiske eiendeler. Å holde seg informert, årvåken og forberedt er nøkkelen til å beskytte deg selv i denne nye epoken med nettkriminalitet.

Innen Zane
October 9, 2024
Computer Security
Norsk
October 9, 2024
Computer Security

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.