Gli attori della minaccia nordcoreana dietro l’intervista contagiosa hanno adottato il sempre più popolare ClickFix Tattica di ingegneria sociale per attirare le persone in cerca di lavoro nel settore delle criptovalute per fornire una backdoor basata su Go precedentemente privo di documenti chiamata Golangghost su sistemi Home windows e MacOS.
La nuova attività, valutata per essere una continuazione della campagna, è stata nominata in codice Intervista a clic dalla società di sicurezza informatica francese Sekoia. Intervista contagiosaanche monitorato come Deceptedevedevelopment, Dev#Popper e Well-known Chollima, è noto per essere attivo almeno nel dicembre 2022, sebbene fosse documentato pubblicamente solo per la prima volta alla tremendous del 2023.
“Utilizza i legittimi siti Net di colloquio di lavoro per sfruttare la tattica Clickfix e installare backdoor di Home windows e MacOS”, i ricercatori di Sekoia Amaury G., Coline Chavane e Felix Aimé disseattribuendo lo sforzo al famigerato Gruppo Lazzaroun prolifico avversario attribuito all’Ufficio generale di ricognizione (RGB) della Repubblica popolare democratica di Corea (DPRK).
Un aspetto notevole della campagna è che si rivolge principalmente alle entità finanziarie centralizzate impersonando aziende come Coinbase, Kucoin, Kraken, Circle, Secoritize, BlockFi, Tether, Robinhood e Bybit, segnando una deviazione dagli attacchi del gruppo di hacking contro le finanze decentralizzate (Defi).
Intervista contagiosa, come Operation Dream Jobimpiega offerte di lavoro false Come esche per attrarre potenziali obiettivi e ingannarli nel obtain di malware in grado di rubare la criptovaluta e altri dati sensibili.
Come parte dello sforzo, i candidati vengono contattati tramite LinkedIn o X per prepararsi a un colloquio di videochiamata, per il quale viene chiesto loro di scaricare un software program di videoconferenza allacciato da malware o un progetto open supply che attiva il processo di infezione.
L’uso della tattica di Clickfix da parte di Lazarus Group è stato divulgato per la prima volta verso la tremendous del 2024 dal ricercatore della sicurezza Taylor Monahan, con le catene di attacco che hanno portato allo spiegamento di una famiglia di malware chiamata FURETTO che quindi consegna la backdoor Golang.
In questa iterazione della campagna, alle vittime viene chiesto di visitare un presunto servizio di intervista video di nome Willo e completare una valutazione video di se stessi.
“L’intera configurazione, progettata meticolosamente per costruire la fiducia dell’utente, procede senza intoppi fino a quando all’utente non viene chiesto di abilitare la propria fotocamera”, ha spiegato Sekoia. “A questo punto, viene visualizzato un messaggio di errore che indica che l’utente deve scaricare un driver per risolvere il problema. È qui che l’operatore utilizza la tecnica ClickFix.”
Le istruzioni fornite alla vittima per consentire l’accesso alla telecamera o al microfono variano a seconda del sistema operativo utilizzato. Su Home windows, ai goal viene richiesto di aprire il immediate dei comandi ed eseguire un comando Curl per eseguire un file di script Visible Fundamental (VBS), che quindi lancia uno script batch per eseguire Golangghost.
Nel caso in cui la vittima stia visitando il sito da una macchina MacOS, viene simile a lanciare l’app Terminal ed eseguire un comando Curl per eseguire uno script di shell. Lo script di shell dannoso, da parte sua, esegue un secondo script di shell che, a sua volta, esegue un modulo di furto soprannominato Frostyferret (aka Chromeupdatealert) e il backdoor.
Frostyferret visualizza una finestra falsa che afferma che il browser Net Chrome necessita di accesso alla fotocamera o al microfono dell’utente, dopo di che visualizza un immediate per immettere la password del sistema. Le informazioni inserite, indipendentemente dal fatto che siano valide o in altro modo, siano esfiltrate in una posizione dropbox, probabilmente indicando un tentativo di accedere al portachiavi iCloud utilizzando la password rubata.
Golangghost è progettato per facilitare il telecomando e il furto di dati attraverso diversi comandi che gli consentono di caricare/scaricare file, inviare informazioni host e rubare i dati del browser Net.
“È stato scoperto che tutte le posizioni non erano legate ai profili tecnici nello sviluppo del software program”, ha osservato Sekia. “Sono principalmente posti di lavoro di supervisor incentrato sullo sviluppo aziendale, sulla gestione patrimoniale, sullo sviluppo del prodotto o negli specialisti finanziari decentralizzati”.
“Questa è una modifica significativa rispetto alle precedenti campagne documentate attribuite agli attori delle minacce DPRK-Seneus e basate su falsi interviste di lavoro, che hanno principalmente preso di mira sviluppatori e ingegneri del software program.”
Il regime dei lavoratori IT della Corea del Nord diventa attivo in Europa
Lo sviluppo arriva quando il Google Menace Intelligence Group (GTIG) ha dichiarato di aver osservato un aumento del Schema di lavoratori IT fraudolenti In Europa, sottolineando una significativa espansione delle loro operazioni oltre gli Stati Uniti.
L’attività dei lavoratori IT comporta i cittadini nordcoreani in posa come legittimi lavoratori remoti per infiltrarsi nelle aziende e generare entrate illecite per Pyongyang in Violazione delle sanzioni internazionali.
Maggiore consapevolezza dell’attività, accoppiata al Accusa del Dipartimento di Giustizia degli Stati Unitihanno istigato una “espansione globale delle operazioni dei lavoratori IT”, ha affermato Google, notando che ha scoperto numerous persone fabbricate in cerca di lavoro in varie organizzazioni situate in Germania e in Portogallo.
I lavoratori IT sono stati anche osservati intraprendendo vari progetti nel Regno Unito relativi allo sviluppo internet, allo sviluppo dei bot, allo sviluppo del sistema di gestione dei contenuti (CMS) e alla tecnologia blockchain, spesso falsificando le loro identità e sostenendo di essere da Italia, Giappone, Malesia, Singapore, Ucraina, Stati Uniti e Vietnam.
Questa tattica dei lavoratori IT in posa come cittadini vietnamiti, giapponesi e singaporiani period anche evidenziato dalla società di intelligence gestita Nisos all’inizio del mese scorso, attirando mentre attira l’attenzione sull’uso di GitHub per ritagliarsi nuove persone o riciclare i contenuti del portfolio da persone anziane per rafforzare i loro nuovi.
“I lavoratori IT in Europa sono stati reclutati attraverso varie piattaforme on-line, tra cui upwork, telegramma e libero professionista”, Jamie Collier, Lead Menace Intelligence Advisor per l’Europa a GTIG, disse. “Il pagamento per i loro servizi è stato facilitato attraverso la criptovaluta, il servizio Transferwise e Payoneer, evidenziando l’uso di metodi che offuscano l’origine e la destinazione dei fondi.”
Oltre a utilizzare i facilitatori locali per aiutarli a sbarcare i lavori, l’operazione di minaccia per insider sta assistendo a quello che sembra essere un picco tentativi di estorsione Dall’ottobre 2024, quando divenne la conoscenza pubblica che questi lavoratori IT ricorrono ai pagamenti di riscatto dai loro datori di lavoro per impedire loro di rilasciare dati proprietari o di fornirli a un concorrente.
In quella che sembra essere un’ulteriore evoluzione del regime, si cube che i lavoratori IT stiano prendendo di mira le aziende che gestiscono una politica di Port Personal Gadget (BYOD) a causa del fatto che è improbabile che tali dispositivi abbiano strumenti tradizionali di sicurezza e registrazione utilizzati negli ambienti aziendali.
“L’Europa deve svegliarsi velocemente. Nonostante sia nel mirino delle operazioni dei lavoratori IT, troppi lo percepiscono come un problema statunitense. I recenti turni della Corea del Nord probabilmente derivano da ostacoli operativi statunitensi, mostrando l’agilità dei lavoratori IT e la capacità di adattarsi alle mutevoli circostanze”, ha detto Collier.
“Un decennio di diversi attacchi informatici precede l’ultimo aumento della Corea del Nord – dal rapido concentrating on e ransomware, al furto di criptovaluta e al compromesso della catena di approvvigionamento. Questa incessante innovazione dimostra un impegno di lunga knowledge a finanziare il regime attraverso le operazioni informatiche.”
