Hakerzy z Korei Północnej wykorzystują fałszywe rozmowy kwalifikacyjne, aby zainfekować programistów złośliwym oprogramowaniem międzyplatformowym

Północnokoreańscy aktorzy zagrożeń znaleźli przebiegły sposób na atakowanie programistów: fałszywe rozmowy kwalifikacyjne. Ta podstępna metoda ma na celu zwabienie niczego niepodejrzewających osób poszukujących pracy w branży technologicznej do pobrania złośliwego oprogramowania, które narusza zarówno ich bezpieczeństwo, jak i systemy. Badacze ds. bezpieczeństwa zaobserwowali tę kampanię, śledzoną jako CL-STA-0240 i znaną jako „Contagious Interview”, w której hakerzy podszywają się pod potencjalnych pracodawców na platformach z ofertami pracy.

Operacja ta wyszła na jaw za sprawą raportu jednostki 42 Palo Alto Networks. Po raz pierwszy ujawniono ją w listopadzie 2023 r., ujawniając, że cyberprzestępcy wykorzystują zaktualizowane wersje dwóch rodzin złośliwego oprogramowania: BeaverTail i InvisibleFerret.

Jak przebiega atak

Pierwszy punkt kontaktu ma miejsce na platformach wyszukiwania ofert pracy, gdzie północnokoreańscy hakerzy, podszywający się pod rekruterów, kontaktują się z programistami. Organizują rozmowy kwalifikacyjne online, zyskując zaufanie swoich ofiar poprzez imitację legalnych procesów rekrutacyjnych. Podczas tych tak zwanych rozmów hakerzy przekonują programistów do pobrania tego, co twierdzą, że jest zadaniem kodowania lub innym materiałem związanym z pracą. Ofiara nie wie, że te pliki do pobrania zawierają złośliwe oprogramowanie.

Proces infekcji zaczyna się od BeaverTail downloader, który jest złośliwym oprogramowaniem kradnącym informacje, atakującym systemy Windows i macOS. BeaverTail działa jako pomost dla bardziej niebezpiecznego drugiego etapu złośliwego oprogramowania: InvisibleFerret backdoor, który opiera się na języku programowania Python. Pomimo publicznej świadomości tej operacji, ostatnie raporty sugerują, że hakerzy stojący za tą kampanią nadal odnoszą sukcesy, oszukując programistów, aby nieświadomie wykonali złośliwy kod.

Wieloplatformowe złośliwe oprogramowanie to koszmar programistów

Głębsza analiza przeprowadzona przez ekspertów ds. cyberbezpieczeństwa, takich jak Patrick Wardle i Group-IB, pokazuje, jak dalekosiężne jest to zagrożenie. Ci atakujący używają fałszywych aplikacji do wideokonferencji — takich jak podszywanie się pod MiroTalk i FreeConference.com — do infiltracji systemów. Te fałszywe aplikacje są opracowywane przy użyciu Qt, popularnego frameworka, który umożliwia kompilację krzyżową na różnych platformach, w tym Windows i macOS.

Wersja BeaverTail oparta na Qt nie ogranicza się tylko do jednej funkcji. Ma zdolność kradzieży haseł przeglądarek, a także danych z portfeli kryptowalut, co czyni ją szczególnie niebezpieczną. Wyprowadza dane na serwer kontrolowany przez hakerów, dając cyberprzestępcom dostęp do poufnych informacji osobistych i finansowych.

Po tym, jak BeaverTail wykonał swoją część, instaluje InvisibleFerret, który jest zdolny do znacznie bardziej destrukcyjnej aktywności. To złośliwe oprogramowanie zawiera dwa krytyczne komponenty:

1. Główny ładunek przeznaczony do zdalnego sterowania, rejestrowania naciśnięć klawiszy, tworzenia odcisków palców zainfekowanego systemu, a nawet pobierania narzędzi do zdalnego pulpitu.
2. Złodziej przeglądarek , który wykrada dane uwierzytelniające przeglądarki, w tym nazwy użytkowników, hasła, a nawet zapisane informacje o kartach kredytowych.

Finansowa motywacja ataków

Północnokoreańscy aktorzy zagrożeń od dawna są kojarzeni z cyberprzestępczością o podłożu finansowym, często wykorzystując te nielegalne zyski do wspierania reżimu. Jednostka 42 sugeruje, że ta konkretna kampania może mieć również silny motyw finansowy, zwłaszcza biorąc pod uwagę zdolność złośliwego oprogramowania do kradzieży z 13 różnych portfeli kryptowalut .

Korzystając z narzędzi, które mogą zbierać cenne aktywa, takie jak kryptowaluty, dane uwierzytelniające przeglądarki, a nawet zdalny dostęp, hakerzy mogliby potencjalnie wyłudzić duże sumy pieniędzy. Motywowane finansowo cyberataki, takie jak ten, są kamieniem węgielnym strategii Korei Północnej, aby uniknąć międzynarodowych sankcji i finansować operacje rządowe.

Ochrona siebie jako programisty

Wzrost cyberataków za pośrednictwem fałszywych rozmów kwalifikacyjnych sygnalizuje niepokojącą zmianę w sposobie, w jaki hakerzy atakują programistów i szerszą społeczność technologiczną. Oto kilka kroków, aby zachować bezpieczeństwo:

• Zweryfikuj rekruterów : Zawsze sprawdzaj tożsamość rekruterów lub pracodawców, którzy się z Tobą kontaktują. Proste wyszukiwanie w serwisie LinkedIn lub wizyta na oficjalnej stronie firmy może pomóc Ci potwierdzić, czy oferta jest prawdziwa.
• Zachowaj ostrożność przy pobieraniu plików : Nigdy nie pobieraj plików z niezaufanych źródeł, zwłaszcza jeśli pochodzą z platformy lub od osoby, której nie zweryfikowałeś.
• Stosuj silne środki bezpieczeństwa : Aktualizuj oprogramowanie antywirusowe i wykrywające złośliwe oprogramowanie. Rozważ użycie szyfrowanej komunikacji i narzędzi sandboxingowych podczas interakcji z nieznanymi podmiotami online.
• Monitoruj portfele kryptowalutowe : Jeśli jesteś zaangażowany w kryptowaluty, bądź szczególnie czujny. Używaj portfeli z silnymi funkcjami bezpieczeństwa i uważnie monitoruj transakcje pod kątem wszelkich podejrzanych działań.

Wniosek

Wykorzystanie fałszywych rozmów kwalifikacyjnych przez północnokoreańskich hakerów do rozprzestrzeniania złośliwego oprogramowania jest przerażającym przypomnieniem tego, jak kreatywni i niebezpieczni potrafią być cyberprzestępcy. W obliczu ataków na platformy Windows i macOS nikt nie jest naprawdę bezpieczny przed tymi zagrożeniami. Deweloperzy powinni być szczególnie czujni, ponieważ hakerzy nadal wykorzystują proces poszukiwania pracy do kradzieży poufnych danych i aktywów finansowych. Pozostawanie poinformowanym, czujnym i przygotowanym jest kluczem do ochrony siebie w tej nowej erze cyberprzestępczości.