Как след фалшиво интервю за работа могат да бъдат откраднати данни и криптовалути?

В последните години киберпрестъпленията стават все по-изобретателни, а една от най-новите заплахи идва от свързана със Северна Корея хакерска група, която използва фалшиви оферти за работа, за да подмами нищо неподозиращи жертви. Кампанията, известна като Contagious Interview, е насочена предимно към софтуерни разработчици, особено тези, които работят върху криптовалути и Web3 проекти. В тази статия ще ви разкажем как действа тази схема, какви опасности крие и как да се предпазите от подобни измами.

Какво представлява кампанията Contagious Interview?

Contagious Interview е сложна кибератака, ръководена от хакерска група, свързана със Северна Корея. Според словашката компания за киберсигурност ESET, която проследява дейността под кодовото име DeceptiveDevelopment, нападателите се представят за recruiters (набиращи персонал) и предлагат изкушаващи оферти за работа чрез популярни платформи като LinkedIn, Upwork, Freelancer и Crypto Jobs List. Целта им е да подмамят разработчици на софтуер, работещи с Windows, Linux или macOS, да инсталират зловреден софтуер на компютрите си.

Тази група използва няколко имена, сред които DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 и Void Dokkaebi, а тактиките им са изключително изобретателни. Те разчитат на социална инженерия – техника, при която манипулират жертвите си, като използват техните амбиции и доверие.

Как работи атаката?

Схемата започва с привидно безобидно съобщение от „рекрутър“, който предлага атрактивна работа. Ако жертвата прояви интерес, обикновено се иска от нея да изпълни едно от следните действия:

• Видео интервю: Кандидатът получава линк за видео оценка, но когато се опита да го отвори, сайтът показва фалшиви съобщения за грешки, свързани с камерата или микрофона. За да „реши“ проблема, жертвата е инструктирана да изпълни определени команди в командния ред (на Windows) или терминала (на macOS/Linux). Тези команди всъщност инсталират зловреден софтуер.
• Програмистка задача: Жертвата е помолена да клонира проект от GitHub, който съдържа скрит скрипт за изпълнение на команди. При изпълнението на проекта, компютърът се заразява с различни видове зловреден софтуер.

И в двата случая резултатът е един и същ – компютърът на жертвата бива компрометиран, а хакерите получават достъп до чувствителна информация, включително данни от браузъри и крипто портфейли.

Какви са инструментите на хакерите?

Хакерите от Contagious Interview използват разнообразен арсенал от зловреден софтуер, включително:

• BeaverTail: Този зловреден софтуер краде информация и изтегля други вредоносни програми на заразения компютър.
• InvisibleFerret и WeaselStore: Тези инструменти са насочени към кражба на чувствителни данни, като пароли и информация за крипто портфейли. WeaselStore действа и като RAT (Remote Access Trojan), което позволява на хакерите да контролират компютъра от разстояние.
• TsunamiKit: Комплект от инструменти, който включва различни компоненти като TsunamiLoader, TsunamiInjector, TsunamiInstaller и TsunamiHardener. Те работят заедно, за да инсталират и поддържат зловредния софтуер, като дори заобикалят защитата на Microsoft Defender.
• Tropidoor: По-сложен зловреден софтуер, който споделя код с други инструменти на известната хакерска група Lazarus. Той позволява шпиониране, манипулиране на файлове и дори изпълнение на команди в Windows, като остава незабелязан.
• AkdoorTea: Най-новото попълнение в арсенала на групата. Този троянски кон се разпространява чрез фалшиви актуализации на NVIDIA драйвери и позволява пълен контрол над заразения компютър.

Интересно е, че част от тези инструменти не са изцяло разработени от групата, а са адаптирани от проекти в тъмния уеб или заимствани от други свързани със Северна Корея групи, като Lazarus.

Защо криптовалутите са мишена?

Криптовалутите са особено привлекателна цел за хакерите, защото транзакциите с тях са трудни за проследяване, а откраднатите средства могат бързо да бъдат прехвърлени и изпрани. Разработчиците, работещи по Web3 проекти, често имат достъп до чувствителна информация, като частни ключове за крипто портфейли, което ги прави идеални мишени за атаките на Contagious Interview.

Връзка с други престъпни схеми

Кампанията Contagious Interview не действа изолирано. Според изследвания на компании като Zscaler и Trellix, тя е свързана с друга схема, известна като WageMole. При нея севернокорейски хакери използват откраднати или фалшиви самоличности, за да кандидатстват за работа в компании, особено в САЩ. Информацията, събрана чрез Contagious Interview, често се използва, за да се подготвят тези фалшиви кандидатури.

Пример за това е случай, разкрит от Trellix, при който фалшив кандидат на име „Кайл Ланкфорд“ кандидатства за позицията „Главен софтуерен инженер“ в американска здравна компания. Въпреки че първоначално кандидатът не предизвиква подозрения, анализът на имейлите и проверката на самоличността разкриват връзки с известни севернокорейски хакерски мрежи.

Как да се предпазите?

За да избегнете да станете жертва на подобни атаки, ето няколко прости, но ефективни съвета:

• Бъдете внимателни към офертите за работа: Ако получите неочаквано предложение за работа, особено през платформи като LinkedIn, проверете внимателно източника. Свържете се с компанията директно през официалния й уебсайт, за да потвърдите легитимността на офертата.
• Не изпълнявайте непознати команди: Ако ви помолят да стартирате команди в командния ред или терминала, за да „поправите“ проблем с камерата или микрофона, не го правете. Това е честа тактика за инсталиране на зловреден софтуер.
• Проверявайте GitHub проектите: Преди да клонирате или изпълните код от GitHub, уверете се, че проектът е от доверен източник. Проверете профила на собственика и историята на проекта.
• Използвайте силна антивирусна защита: Уверете се, че компютърът ви е защитен с актуален антивирусен софтуер, който може да засече и блокира зловреден софтуер.
• Пазете крипто портфейлите си: Ако работите с криптовалути, използвайте хардуерни портфейли и избягвайте да съхранявате частни ключове на компютъра си.

Заключение

Кампанията Contagious Interview е ярък пример за това колко изобретателни могат да бъдат киберпрестъпниците. Чрез фалшиви оферти за работа и хитроумни техники за социална инженерия, хакерите се опитват да използват вашето доверие и професионални амбиции, за да получат достъп до личните ви данни и финанси. Въпреки че инструментите им може да не са най-сложните, мащабът и креативността на атаките ги правят изключително опасни. За да останете в безопасност, бъдете внимателни към всяко съмнително предложение и винаги проверявайте източниците му. С малко предпазливост и здрав разум можете да се предпазите от тези и други киберзаплахи.