Письма с поддельными предложениями о работе используются для распространения вредоносного ПО BeaverTail

Новая кибератака нацелилась на соискателей работы, используя поддельные письма о найме на работу для распространения вредоносного ПО, маскирующегося под безвредные файлы разработчика.

Эксперты по кибербезопасности из ASEC, которые впервые идентифицировали этот вредоносный программный код, объясняют, что этот инцидент отражает усиливающуюся тактику, когда злоумышленники маскируются под рекрутеров или членов разработчиков сообществ.

Инцидент впервые произошел 29 ноября 2024 года, когда хакеры использовали идентичность Dev.to, чтобы выдать себя за разработчиков платформы.

Атакующие отправили письма, содержащие ссылки на репозиторий кода BitBucket, и попросили пользователей ознакомиться с проектом. В файлах проекта был скрыт вредоносный код, который был замаскирован под обычные файлы проекта.

Поддельные файлы содержали две основные угрозы: вредоносное ПО на основе JavaScript под названием BeaverTail, замаскированное под файл “tailwind.config.js”, и второй компонент под названием car.dll, который действует как загрузчик. При открытии эти файлы работают вместе, чтобы украсть данные для входа, информацию браузера и даже информацию о криптовалютном кошельке.

«BeaverTail известен тем, что в основном распространяется в фишинговых атаках, замаскированных под предложения о работе», — объяснили исследователи из ASEC. Предыдущие версии этой атаки были замечены на платформах вроде LinkedIn.

Вредоносное ПО представляет значительную угрозу, поскольку оно маскирует свои реальные цели, имитируя стандартные системные операции. Для обхода обнаружения антивирусным программным обеспечением, вредоносное ПО использует инструменты PowerShell и rundll32, которые являются стандартными утилитами Windows.

Проникнув в систему, вредоносное ПО извлекает и запускает Tropidoor, который функционирует как продвинутый бэкдор. Инструмент устанавливает зашифрованные соединения с удаленными серверами, выполняя более 20 различных команд, включая удаление файлов, инъекцию кода программы и снимок экрана.

«Tropidoor… собирает основную информацию о системе и генерирует случайный ключ размером 0x20 байт, который шифруется с помощью открытого ключа RSA», — сказали исследователи. Это безопасное соединение позволяет хакерам контролировать зараженные машины, не привлекая внимания.

Команды безопасности настоятельно рекомендуют всем быть особенно бдительными в это время. Остерегайтесь неожиданных писем с предложением о работе, особенно тех, в которых есть ссылки на репозитории кода или которые просят вас скачать файлы проектов. Всегда проверяйте через официальную компанию, прежде чем открывать любой контент.