Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Ларазус атакует криптоиндустрию: новая угроза ClickFake Interview

1
2 мин
Спонсируемая государством хакерская группа Lazarus, связанная с Северной Кореей, продолжает атаковать криптовалютную индустрию с целью получения финансовой выгоды. С 2017 года их методы эволюционируют, и недавняя кампания, названная ClickFake Interview, демонстрирует новую тактику, включающую использование поддельных веб-сайтов для проведения собеседований при приеме на работу. Кампания ClickFake Interview нацелена на людей, работающих в криптовалютном секторе, причем акцент сделан на профили с меньшим уровнем технических знаний. Это делает их более уязвимыми к вредоносному ПО, загружаемому в процессе найма. Важными особенностями данной кампании являются: Для пользователей Windows скрипт VBS запускает загрузку и выполнение бэкдора на основе Go. В то время как для macOS используется программа-перехватчик FrostyFerret, которая получает системные пароли перед внедрением GolangGhost. Вредоносное ПО GolangGhost представляет собой серьезную угрозу, так как позволяет удаленно управлять систем
Оглавление

Спонсируемая государством хакерская группа Lazarus, связанная с Северной Кореей, продолжает атаковать криптовалютную индустрию с целью получения финансовой выгоды. С 2017 года их методы эволюционируют, и недавняя кампания, названная ClickFake Interview, демонстрирует новую тактику, включающую использование поддельных веб-сайтов для проведения собеседований при приеме на работу.

Методы атаки

Кампания ClickFake Interview нацелена на людей, работающих в криптовалютном секторе, причем акцент сделан на профили с меньшим уровнем технических знаний. Это делает их более уязвимыми к вредоносному ПО, загружаемому в процессе найма.

Важными особенностями данной кампании являются:

  • Использование поддельных веб-сайтов, созданных с применением ReactJS, для маскировки вредоносных действий.
  • Техника ClickFix, которая направляет пользователей на сайты, кажущиеся законными для собеседований.
  • Запуск вредоносного ПО, включая бэкдор GolangGhost, с помощью скриптов VBS для Windows и Bash для macOS.

Технические детали

Для пользователей Windows скрипт VBS запускает загрузку и выполнение бэкдора на основе Go. В то время как для macOS используется программа-перехватчик FrostyFerret, которая получает системные пароли перед внедрением GolangGhost.

Вредоносное ПО GolangGhost представляет собой серьезную угрозу, так как позволяет удаленно управлять системой и красть данные, включая информацию из браузера. Оно взаимодействует с сервером управления (C2) и может выполнять команды, такие как:

  • Загрузка файлов
  • Выполнение команд командной строки
  • Поиск данных о зараженной машине

Анализ и выводы

Кампания ClickFake Interview воспринимается как продолжение предыдущих атак, таких как Contagious Interview. Это указывает на постоянство и эволюцию тактики Lazarus, которая сместила фокус с децентрализованных финансовых услуг (DeFi) на централизованные финансовые услуги (CeFi).

Как отмечают эксперты:

“Кампания демонстрирует изощренное использование социальной инженерии и передовой технической тактики для воздействия на уязвимых людей в сфере криптовалют.”

Таким образом, ClickFake Interview не только отражает текущее состояние угроз в кибербезопасности, но и подчеркивает важность защиты от атак, использующих человеческое доверие и технические уязвимости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Ларазус атакует криптоиндустрию: новая угроза ClickFake Interview".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются