Северокорейские хакеры используют поддельные собеседования для заражения разработчиков кроссплатформенным вредоносным ПО

Северокорейские злоумышленники нашли хитрый способ атаковать разработчиков программного обеспечения: поддельные собеседования. Этот коварный метод разработан, чтобы заманить ничего не подозревающих соискателей в технологической отрасли, чтобы они загрузили вредоносное ПО, которое ставит под угрозу как их безопасность, так и их системы. Исследователи безопасности наблюдали за этой кампанией, отслеживаемой как CL-STA-0240 и известной как «Заразное интервью», в ходе которой хакеры выдают себя за потенциальных работодателей на платформах по трудоустройству.

Об этой операции стало известно благодаря отчету подразделения 42 компании Palo Alto Networks. Впервые о ней стало известно в ноябре 2023 года. В нем говорилось, что киберпреступники используют обновленные версии двух семейств вредоносных программ: BeaverTail и InvisibleFerret.

Как разворачивается атака

Первая точка контакта происходит на платформах поиска работы, где северокорейские хакеры, выдавая себя за рекрутеров, связываются с разработчиками программного обеспечения. Они организуют онлайн-собеседования, завоевывая доверие своих жертв, имитируя законные процессы найма. Во время этих так называемых собеседований хакеры убеждают разработчиков загрузить то, что они называют заданием по кодированию или другими рабочими материалами. Без ведома жертвы эти загрузки содержат вредоносное программное обеспечение.

Процесс заражения начинается с загрузчика BeaverTail, вредоносного ПО для кражи информации, нацеленного как на системы Windows, так и на macOS. BeaverTail выступает в качестве моста для более опасного второго этапа вредоносного ПО: бэкдора InvisibleFerret, основанного на языке программирования Python. Несмотря на то, что об этой операции стало известно общественности, последние сообщения свидетельствуют о том, что хакеры, стоящие за этой кампанией, продолжают добиваться успеха, обманывая разработчиков, заставляя их неосознанно выполнять вредоносный код.

Кроссплатформенное вредоносное ПО — кошмар разработчика

Более глубокий анализ, проведенный экспертами по кибербезопасности, такими как Патрик Уордл и Group-IB, показывает, насколько далеко идущей является эта угроза. Эти злоумышленники используют поддельные приложения для видеоконференций, такие как имитации MiroTalk и FreeConference.com, для проникновения в системы. Эти поддельные приложения разрабатываются с использованием Qt, популярного фреймворка, который позволяет выполнять кросс-компиляцию на разных платформах, включая Windows и macOS.

Версия BeaverTail на основе Qt не ограничивается одной функцией. Она способна красть пароли браузеров, а также данные из криптовалютных кошельков, что делает ее особенно опасной. Она переносит данные на контролируемый хакерами сервер, предоставляя киберпреступникам доступ к конфиденциальной личной и финансовой информации.

После того, как BeaverTail выполнил свою часть работы, он устанавливает InvisibleFerret, который способен на гораздо более разрушительную деятельность. Эта вредоносная программа включает в себя два критических компонента:

1. Основная полезная нагрузка, предназначенная для удаленного управления, кейлоггерства, снятия отпечатков пальцев с зараженной системы и даже загрузки инструментов удаленного рабочего стола.
2. Программа для кражи данных браузера , которая извлекает учетные данные браузера, включая имена пользователей, пароли и даже сохраненные данные кредитных карт.

Финансовая мотивация атак

Северокорейские злоумышленники давно связаны с финансово мотивированными киберпреступлениями, часто используя эти незаконные доходы для поддержки режима. Unit 42 предполагает, что эта конкретная кампания может иметь также сильный финансовый мотив, особенно учитывая способность вредоносного ПО красть из 13 различных криптовалютных кошельков .

Используя инструменты, которые могут собирать ценные активы, такие как криптовалюта, учетные данные браузера и даже удаленный доступ, хакеры потенциально могут выкачивать большие суммы денег. Финансово мотивированные кибератаки, подобные этой, являются краеугольным камнем стратегии Северной Кореи по уклонению от международных санкций и финансированию своих правительственных операций.

Защитите себя как разработчика

Рост числа кибератак с использованием поддельных собеседований на работу свидетельствует о тревожном изменении в том, как хакеры атакуют разработчиков и более широкое техническое сообщество. Вот несколько шагов, чтобы оставаться в безопасности:

• Проверка рекрутеров : Всегда перепроверяйте личности рекрутеров или работодателей, которые обращаются к вам. Простой поиск в LinkedIn или посещение официального сайта компании может помочь вам подтвердить, является ли предложение подлинным.
• Будьте осторожны при загрузке : никогда не загружайте файлы из ненадежных источников, особенно если они получены с платформы или от лица, которое вы не проверили.
• Используйте надежные меры безопасности : обновляйте антивирусное и вредоносное ПО. Рассмотрите возможность использования инструментов зашифрованной связи и песочницы при взаимодействии с неизвестными субъектами в сети.
• Мониторьте криптокошельки : если вы занимаетесь криптовалютой, будьте особенно бдительны. Используйте кошельки с надежными функциями безопасности и внимательно отслеживайте транзакции на предмет подозрительной активности.

Заключение

Использование фальшивых собеседований северокорейскими хакерами для распространения вредоносного ПО является леденящим душу напоминанием о том, насколько креативными и опасными могут быть киберпреступники. С атаками, нацеленными как на платформы Windows, так и на macOS, никто по-настоящему не застрахован от этих угроз. Разработчики, в частности, должны быть начеку, поскольку хакеры продолжают использовать процесс поиска работы для кражи конфиденциальных данных и финансовых активов. Быть информированным, бдительным и подготовленным — ключ к защите себя в эту новую эру киберпреступности.