Группа Lazarus, спонсируемая государством хакерская организация Северной Кореи, активизировала свои усилия в атаке на криптовалютный сектор. Новая кампания, получившая название «ClickFake Interview«, использует поддельные веб-сайты для проведения собеседований, с целью распространения продвинутых вредоносных программ, таких как GolangGhost и FrostyFerret.
Проблемы криптовалютной индустрии
С момента своего появления в 2017 году группа Lazarus нацелилась на криптовалютную индустрию, и за это время ей удалось накопить значительные финансовые ресурсы. Согласно последним отчетам, в 2024 году с криптовалютных платформ было украдено более 1,3 миллиарда долларов. Эта новая кампания представляет собой тактическую эволюцию, продолжая тенденции, начатые с операций «Заразительное интервью» и «Работа мечты«.
Стратегия ClickFake Interview
Кампания ClickFake Interview нацелена на соискателей работы в криптовалютном пространстве, используя invitational links в социальных сетях для привлечения жертв на мошеннические сайты. Эти сайты напоминали легитимные платформы, используя технологии ReactJS для создания достоверного пользовательского интерфейса.
Как работает схема
На поддельных сайтах жертвам предлагается:
- Заполнить анкеты;
- Записать ознакомительные видеоролики;
- Ввести личные данные для загрузки вредоносных скриптов.
Ключевым элементом внедрения вредоносного ПО является тактика ClickFix, при которой жертвы обманом заставляются загружать вредоносные скрипты под предлогом устранения проблем с доступом к камере.
Технические детали атак
На системах Windows используется скрипт VBS, который способствует установке бэкдора GolangGhost, способного выполнять команды и извлекать конфиденциальную информацию. На macOS применяется аналогичный скрипт Bash для доставки как GolangGhost, так и FrostyFerret. Последний известен как похититель учетных данных, собирающий системные пароли и имеющий доступ к ключам цепочки для дальнейшего сбора данных.
Процесс заражения
Процесс заражения в Windows включает в себя:
- Использование пакетного файла, замаскированного под индикатор установки;
В то время как для заражения macOS применяются сценарии командной оболочки для извлечения вредоносных ресурсов. FrostyFerret заставляет пользователей вводить поддельные пароли, которые затем удаляются во внешние хранилища.
Расширение масштабов атаки
Кампания ClickFake Interview также расширила свои цели, включив в них нетехнических специалистов. Это подчеркивает стратегический сдвиг Lazarus Group к использованию менее опытных пользователей, что усложняет выявление вредоносных действий.
Рекомендации по кибербезопасности
Специалисты по безопасности могут внедрять меры обнаружения, сопоставляя конкретные действия, такие как использование curl.exe, PowerShell и wscript.exe в сочетании. Рекомендуется также использовать правила YARA, предоставленные Sekoia, для выявления вредоносных программ, связанных с этой кампанией.
Эти меры помогут в выявлении бэкдоров и механизмов кражи учетных данных, необходимых для устранения угроз, создаваемых развивающимися методологиями Lazarus Group.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группа Lazarus усиливает атаки на криптовалюту с ClickFake".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
