Северокорейские хакеры используют поддельные предложения о работе на LinkedIn

Северокорейские хакеры используют LinkedIn для целевого воздействия на разработчиков посредством поддельных схем найма, как сообщает сегодня Hacker News. Атакующие используют тесты на знание кода как первый способ заражения жертв, что подчеркивается в отчете компании Mandiant, принадлежащей Google.

Схемы, связанные с наймом на работу в Северной Корее, широко используются для распространения вредоносного ПО, включая поддельные приложения для видеоконференций, целящиеся на ищущих работу на платформах вроде LinkedIn и Upwork. После первого контакта хакеры направляют жертв на скачивание вредоносного ПО через мессенджеры, такие как Telegram.

Исследователи из Mandiant объяснили, что недавние ограбления криптовалютных бирж связаны с более широким паттерном социальной инженерии. В этих схемах разработчики контактируют под предлогом предложения о работе.

Они представляют пример инженера, которому был отправлен ZIP-файл, содержащий вредоносное ПО, замаскированное под задачу по кодированию на Python, которое компрометировало систему macOS пользователя с помощью вторичного вредоносного ПО. Это вредоносное ПО сохранялось через агенты запуска macOS, что еще больше угрожало системе пользователя.

Эти тактики не ограничиваются разработчиками. Профессионалы в области финансов также стали объектами атак. В одном из инцидентов Mandiant заметил вредоносный PDF, отправленный в рамках поддельного предложения о работе на высокой должности на криптовалютной бирже.

PDF устанавливал RUSTBUCKET, вредоносное ПО, которое собирает системные данные и запускает файлы. Оно оставалось активным, маскируясь под «Обновление Safari» и подключаясь к серверу управления и контроля.

Согласно FBI, такие виды кибератак тщательно планируются. Хакеры используют личную информацию и устанавливают контакт с жертвами, чтобы сделать свои схемы более убедительными. После установления контакта, атакующие могут потратить значительное время на общение со своими целями, чтобы завоевать их доверие.

Для снижения этих рисков, FBI предлагает проверять идентификационные данные контактов через разные платформы, избегать хранения информации о кошельке криптовалюты на устройствах, подключенных к интернету, и использовать виртуальные машины для любых предварительных тестов перед приемом на работу. Они также рекомендуют блокировать неавторизованные загрузки и ограничивать доступ к конфиденциальной информации.

Если вы подозреваете, что ваша компания стала объектом атаки, ФБР рекомендует отключить затронутые устройства от интернета и подать подробное заявление в Центр по борьбе с преступностью в Интернете ФБР.