Группировка Contagious Interview, входящая в печально известную хакерскую организацию Lazarus, обзавелась тремя фиктивными компаниями, две из которых официально зарегистрированы в США. Цель этой изощренной схемы — распространение вредоносного ПО под прикрытием фальшивых собеседований на работу.
По данным отчета аналитической компании Silent Push от 24 апреля, хакеры действуют через мнимые консалтинговые криптофирмы — BlockNovas, Angeloper Agency и SoftGlide. Старший аналитик Зак Эдвардс (Zach Edwards) подтвердил в сообщении в X, что две компании-пустышки зарегистрированы как легитимный бизнес на территории Соединенных Штатов.
«Эти сайты и обширная сеть аккаунтов на платформах для найма используются, чтобы заманить людей в ловушку при подаче заявлений о приеме на работу», — пояснил Эдвардс.
Механизм атаки изящен в своей простоте: во время прохождения фиктивного собеседования система выдает сообщение об ошибке при попытке записать вступительное видео. Решение проблемы требует от пользователя выполнения простой операции — клика, копирования и вставки. Именно эти действия и приводят к заражению вредоносным ПО, если неподозревающий разработчик завершает процесс.
По информации Silent Push, северокорейские киберпреступники используют три типа вредоносных программ: BeaverTail, InvisibleFerret и Otter Cookie. BeaverTail спроектирован прежде всего для кражи информации и внедрения дополнительных этапов вредоносного кода. OtterCookie и InvisibleFerret нацелены на похищение конфиденциальных данных, включая ключи криптокошельков и содержимое буфера обмена.
Аналитики Silent Push отмечают, что хакеры ищут потенциальных жертв через объявления о вакансиях на GitHub и сайтах для фрилансеров.
Для придания фиктивным компаниям правдоподобности хакеры создают профили несуществующих сотрудников с помощью изображений, сгенерированных искусственным интеллектом, а также используют украденные фотографии реальных людей.
«В сети действует множество фальшивых сотрудников с украденными изображениями реальных людей. Мы задокументировали некоторые очевидные подделки и украденные фото, но важно понимать, что усилия по имперсонации в этой кампании имеют свои особенности», — подчеркнул Эдвардс.
«В одном из примеров злоумышленники взяли реальное фото настоящего человека, а затем, похоже, пропустили его через инструмент ИИ-модификации изображения, чтобы создать едва заметно отличающуюся версию той же фотографии», — добавил он.
Эта вредоносная кампания продолжается с начала 2024 года. По словам Эдвардса, уже есть известные публичные жертвы. Silent Push идентифицировал двух разработчиков, ставших мишенями кампании; сообщается, что у одного из них был скомпрометирован кошелек MetaMask.
▼
Самые интересные и важные новости на нашем канале в Telegram
