Подгруппа, связанная с северокорейской хакерской организацией Lazarus, создала три фиктивные консалтинговые компании — две из них зарегистрированы в США — для рассылки вредоносного ПО под видом трудоустройства. Об этом говорится в отчете Silent Push от 24 апреля.

Группировка Contagious Interview использует три фальшивые консалтинговые фирмы — BlockNovas, Angeloper Agency и SoftGlide — для распространения вредоносного ПО через фиктивные собеседования.

Эдвардс отметил, что две компании официально зарегистрированы в США как легальный бизнес:

«Эти сайты и большая сеть аккаунтов на сайтах с вакансиями используются для того, чтобы обмануть людей и заставить их откликнуться на фейковые вакансии. Во время подачи заявки пользователю показывают сообщение об ошибке при попытке записать видеопрезентацию. "Решение" — скопировать и вставить определенный текст, что в итоге запускает вредоносное ПО, если ничего не подозревающий разработчик это делает», — написал он в X.

Во время фиктивного собеседования возникает сообщение об ошибке, которое предлагает скопировать и вставить код. Источник: Зак Эдвардс

По данным Silent Push, в атаке используются три типа вредоносного ПО — BeaverTail, InvisibleFerret и OtterCookie.

BeaverTail предназначен в первую очередь для кражи данных и запуска последующих этапов заражения. OtterCookie и InvisibleFerret нацелены на чувствительную информацию, включая приватные ключи от криптокошельков и данные из буфера обмена.

В отчете также говорится, что хакеры активно ищут жертв через объявления о работе на GitHub и фриланс-платформах.

ИИ помогает создавать фейковых сотрудников

В рамках этой схемы хакеры используют ИИ-генераторы изображений для создания фальшивых профилей сотрудников, а также крадут фото реальных людей.

«В этой сети много поддельных "сотрудников" и украденных изображений. Мы задокументировали часть таких фальшивок, но важно понимать: уровень подделок в этой кампании — совсем другой. В одном случае злоумышленники взяли настоящее фото настоящего человека и пропустили его через ИИ-модификатор, чтобы создать слегка изменённую версию той же фотографии», — пояснил Эдвардс.

По теме: Пользователи предупреждают: фейковый Zoom крадет крипту во время «зависания»

Кампания по заражению вредоносным ПО идет с 2024 года. По словам Эдвардса, в ней есть пострадавшие. Silent Push выявили двух разработчиков, ставших жертвами атак. У одного из них скомпрометирован MetaMask.

На момент публикации ФБР ликвидировало как минимум одну из компаний.

«ФБР перехватило домен BlockNovas, но сайт SoftGlide по-прежнему работает, как и часть остальной инфраструктуры», — сообщил Эдвардс.

Cryptocurrencies, Hackers, North Korea, Cybersecurity
Источник: Зак Эдвардс

«Это далеко не первая кампания Contagious Interview и, увы, не последняя, но она самая сложная из всех. То, что они сделали, должно заставить насторожиться каждого, кто может стать целью северокорейских группировок. Они уже перешли Рубикон: согласны регистрировать фальшивые компании, проходить все формальные KYC-проверки. И у них это получается», — прокомментировал Эдвардс в X.

Как минимум трое криптопредпринимателей в марте сообщали, что предотвратили попытки взлома со стороны предполагаемых северокорейских хакеров через фальшивые звонки в Zoom.

Группировка Lazarus причастна к крупнейшим кибератакам в индустрии, включая взлом Bybit на $1,4 млрд и кражу $600 млн из сети Ronin.

Magazine: Как действует Lazarus Group — разбор любимых уязвимостей хакеров.