Il collegato alla Corea del Nord Gruppo Lazzaro è stato collegato a una campagna attiva che sfrutta le false offerte di lavoro LinkedIn nei settori della criptovaluta e dei viaggi per fornire malware in grado di infettare Home windows, MacOS e Sistemi operativi Linux.
Secondo la società di sicurezza informatica Bitdefender, la truffa inizia con un messaggio inviato su una rete di social media professionale, attirandoli con la promessa di lavoro remoto, flessibilità part-time e buona retribuzione.
“Una volta che l’obiettivo esprime interesse, si svolge il” processo di assunzione “, con il truffatore che richiede un CV o persino un collegamento di deposito GitHub personale”, la società rumena disse In un rapporto condiviso con le notizie di Hacker.
“Sebbene apparentemente innocenti, queste richieste possono servire scopi nefasti, come la raccolta di dati personali o il prestito di un’impiallacciatura di legittimità all’interazione.”
Una volta ottenuti i dettagli richiesti, l’attacco si sposta alla fase successiva in cui l’attore delle minacce, con il pretesto di un reclutatore, condivide un collegamento a un repository GitHub o Bitbucket contenente un prodotto minimo praticabile (MVP) di un presunto scambio decentralizzato ( Dex) Venture e istruisce la vittima a verificarlo e fornire il loro suggestions.
Presente all’interno del codice è uno script offuscato che è configurato per recuperare un carico utile in stadio successivo da API.npoint (.) IO, un Stealer di informazioni javascript multipla che è in grado di raccogliere i dati da varie estensioni del portafoglio di criptovaluta browser.
Il furto raddoppia anche come caricatore per recuperare un backdoor a base di Python responsabile per il monitoraggio delle modifiche ai contenuti degli appunti, mantenendo un accesso remoto persistente e lasciando cadere malware aggiuntivo.
In questa fase, vale la pena notare che le tattiche documentate dalla mostra Bitdefender si sovrappongono a un cluster di attività di attacco noto soprannominato Intervista contagiosa (aka deceptedevedevelopment e dev#popper), che è progettato Per far cadere un greggio JavaScript chiamato Beavertail e Python Implant indicato come InvisibleFerret.
Il malware distribuito per mezzo del malware Python è un binario .NET che può scaricare e avviare un server proxy TOR per comunicare con un server di comando e controllo (C2), Exfiltrate Primary System Data e fornire un altro carico utile, a sua volta , può essere sottratto dati sensibili, registrare i tasti e avviare un minatore di criptovaluta.
“La catena di infezione degli attori delle minacce è complessa, contenente software program dannoso scritto in più linguaggi di programmazione e utilizzando una varietà di tecnologie, come gli script di pitone multi-strato che decodificano ed eseguono in modo ricorsivo e si eseguono. Ulteriori payload e stagisti basati su .NET in grado di disabilitare gli strumenti di sicurezza, configurare un proxy TOR e lanciare i minatori di criptovalute “, ha affermato Bitdefender.
Ci sono show che suggeriscono che questi sforzi sono piuttosto diffusi, andando da rapporti condivisi LinkedIn E Redditcon piccole modifiche alla catena di attacco generale. In alcuni casi, ai candidati viene chiesto di clonare un repository Web3 ed eseguirlo a livello locale come parte di un processo di intervista, mentre in altri viene chiesto loro di correggere i bug introdotti intenzionalmente nel codice.
Uno dei repository Bitbucket in questione si riferisce a un progetto chiamato “miketoken_v2“Non è più accessibile sulla piattaforma di internet hosting di codice.
La divulgazione arriva il giorno dopo il sentinelone rivelato Che la campagna di intervista contagiosa venga utilizzata per consegnare un altro malware in codice flessibile.
