Korea Utara terkait Grup Lazarus telah dikaitkan dengan kampanye aktif yang memanfaatkan penawaran pekerjaan LinkedIn palsu di sektor cryptocurrency dan perjalanan untuk memberikan malware yang mampu menginfeksi sistem operasi Windows, MacOS, dan Linux.
Menurut perusahaan cybersecurity Bitdefender, penipuan dimulai dengan pesan yang dikirim pada jaringan media sosial profesional, memikat mereka dengan janji pekerjaan jarak jauh, fleksibilitas paruh waktu, dan gaji yang baik.
“Setelah target menyatakan minat, 'proses perekrutan' terungkap, dengan scammer meminta CV atau bahkan tautan repositori github pribadi,” kata perusahaan Rumania itu dalam sebuah laporan yang dibagikan kepada Hacker News.
“Meskipun tampaknya tidak bersalah, permintaan ini dapat melayani tujuan jahat, seperti memanen data pribadi atau meminjamkan lapisan legitimasi untuk interaksi.”
Setelah rincian yang diminta diperoleh, serangan itu bergerak ke tahap berikutnya di mana aktor ancaman, dengan kedok perekrut, berbagi tautan ke repositori GitHub atau Bitbucket yang berisi versi produk minimum yang layak (MVP) dari pertukaran yang seharusnya terdesentralisasi ( Dex) memproyeksikan dan menginstruksikan korban untuk memeriksanya dan memberikan umpan balik mereka.
Hadir dalam kode adalah skrip yang dikalahkan yang dikonfigurasi untuk mengambil muatan tahap berikutnya dari API.npoint[.]IO, pencuri informasi javascript lintas platform yang mampu memanen data dari berbagai ekstensi dompet cryptocurrency yang dapat dipasang di browser korban.
Pencuri juga berfungsi ganda sebagai loader untuk mengambil pintu belakang berbasis Python yang bertanggung jawab untuk memantau perubahan konten clipboard, mempertahankan akses jarak jauh yang persisten, dan menjatuhkan malware tambahan.
Pada tahap ini, perlu dicatat bahwa taktik yang didokumentasikan oleh pameran Bitdefender yang tumpang tindih dengan kluster aktivitas serangan yang diketahui dijuluki wawancara menular (alias pengembangan yang penuh kecelakaan dan dev#Popper), yang dirancang untuk menjatuhkan pencuri javascript yang disebut Beavertail dan Python Implant yang disebut sebagai yang tidak dapat ditayangkan. .
Malware yang digunakan dengan menggunakan malware python adalah biner .net yang dapat mengunduh dan memulai server proxy tor untuk berkomunikasi dengan server perintah-dan-kontrol (C2), mengekspiltrat informasi sistem dasar, dan memberikan muatan lain yang, pada gilirannya , dapat menyedot data sensitif, penekanan tombol log, dan meluncurkan penambang cryptocurrency.
“Rantai infeksi aktor ancaman rumit, berisi perangkat lunak berbahaya yang ditulis dalam berbagai bahasa pemrograman dan menggunakan berbagai teknologi, seperti skrip python berlapis-lapis yang secara rekursif mendekode dan mengeksekusi diri mereka sendiri, pencuri javascript yang pertama memanen data browser sebelum berputar Payload lebih lanjut, dan stagers berbasis .NET yang mampu menonaktifkan alat keamanan, mengkonfigurasi proxy Tor, dan meluncurkan crypto Miners, “kata Bitdefender.
Ada bukti yang menyarankan upaya ini cukup luas, berjalan dengan laporan yang dibagikan di LinkedIn dan Reddit, dengan sedikit penyesuaian pada rantai serangan keseluruhan. Dalam beberapa kasus, para kandidat diminta untuk mengkloning repositori Web3 dan menjalankannya secara lokal sebagai bagian dari proses wawancara, sementara di tempat lain mereka diperintahkan untuk memperbaiki bug yang secara sengaja memperkenalkan dalam kode.
Salah satu repositori bitbucket yang dimaksud mengacu pada proyek bernama “miketoken_v2.” Ini tidak lagi dapat diakses pada platform hosting kode.
Pengungkapan itu datang sehari setelah Sentinelone mengungkapkan bahwa kampanye wawancara yang menular digunakan untuk mengirimkan malware lain bernama fleksibel.
