Хакеры используют поддельные криптовалютные компании для распространения вредоносных программ в рамках мошенничества с вакансиями

Северокорейские хакеры выдают себя за криптовалютные компании, обманывая соискателей, которые в ходе фальшивых собеседований загружают вредоносные программы, крадущие данные кошельков.

Исследователи в области безопасности из Silent Push обнаружили новую кибератаку, организованную хакерской группой из Северной Кореи, известной как Contagious Interview, также известной как Famous Chollima.

Группа управляет тремя мошенническими криптовалютными компаниями — BlockNovas LLC, Angeloper Agency и SoftGlide LLC — чтобы ввести в заблуждение соискателей и установить вредоносное ПО.

Схема начинается с поддельных объявлений о работе на фриланс и рекрутинговых сайтах, направленных на лиц, ищущих роли в криптовалютной индустрии. Когда соискатели отвечают на объявления, их просят скачать файлы, якобы содержащие материалы для собеседования или задачи по кодированию.

Однако эти файлы распространяют вредоносное ПО, идентифицированное как BeaverTail, InvisibleFerret и OtterCookie. Вредоносное ПО разработано для кражи конфиденциальных данных, включая учетные данные криптовалютных кошельков.

Чтобы усилить достоверность мошенничества, хакеры создают поддельные профили сотрудников с использованием изображений, сгенерированных с помощью ИИ. Некоторые из этих портретов были созданы с помощью Remaker AI, инструмента, предназначенного для создания реалистичных портретов.

Три мошеннические компании — BlockNovas, Angeloper и SoftGlide — представляют себя как законные бизнесы, но их основная цель — распространение вредоносных программ. Жертвы вводятся в заблуждение и выполняют вредоносный код во время того, что они считают техническими оценками или собеседованиями.

Хакеры полагаются на платформы, такие как GitHub, площадки для фрилансеров и доски объявлений о работе, чтобы распространять вредоносное ПО и управлять своими операциями.

Стратегия атаки соответствует модели, наблюдаемой в прошлых операциях Contagious Interview, подгруппы северокорейской государственной команды Lazarus. Лазарь славится использованием поддельных предложений о работе и сгенерированных ИИ персон, прикрывая свое местоположение с помощью резидентных прокси и VPN, в то время как нацелен на отдельных лиц по всему миру.

Чтобы защититься от таких атак, эксперты советуют соискателям работы быть настороже по отношению к любым предложениям, требующим загрузки неизвестных файлов или выполнения кода. Также важно проверять легитимность компаний перед участием в собеседованиях и использовать актуальное программное обеспечение безопасности.

Один разработчик рассказал о своем опыте: «Я хотела поделиться тем, как вчера взломали мой кошелек MetaMask, чтобы это стало предостережением для других.»

«Я получила новый проект через Freelancer.com. У клиента был значок ‘платеж подтвержден’, поэтому я предположила, что они надежны. Проект включал в себя разработку web3 backend, с которой, я была уверена, справлюсь,» продолжала она.

«После того, как я приняла контракт, клиент пригласил меня в свой проект на GitLab и попросил запустить их бэкенд-код. Вскоре после его запуска, я обнаружила, что мой кошелек MetaMask был скомпрометирован», — предупредила разработчица.