„Au dat din greșeală un mesaj unui cercetător de la noi din companie, crezând că au dat peste un programator capabil, pe care voiau să-l abordeze. I-au spus că au o poziție deschisă, pe o platformă de crypto – bineînțeles că este foarte fierbinte subiectul ăsta, toată lumea crede că se poate îmbogăți de la chestia asta – toată lumea crede că se poate îmbogăți din asta și că au nevoie doar de niște developeri pentru a merge mai departe cu proiectul. Acesta este textul pe care il folosesc atacatorii în general ca se te convingă că este adevărat și să mergi mai departe”, a spus Silviu Stahie, expert în securitate cibernetică la Bitdefender, în rubrica I Like It de la Știrile Pro Tv.
„Textul este foarte bine scris, au știut către cine se îndreaptă, dar nu au știut că vor aborda un cercetător care se ocupă fix cu treaba asta. Este culmea, ai crede că o companie de securitate e mai bine securizată în mediul online, dar e de fapt invers, e de fapt mai căutată decât în alte industrii’, a continuat Stahie.
„Pasul al doilea al ‘angajării’ constă într-un test, iar persoana va trebui să răspundă la câteva întrebări. Aceasta primește un chestionar, însă testul în sine presupune rularea unei aplicații oferite de atacator. Odată ce aplicația este rulată, un cod malițios se activează. În momentul în care este instalat, acest cod caută portofelul de criptomonede din sistem și îl accesează imediat, furând toate fondurile. De asemenea, codul captează detaliile despre toate site-urile pe care utilizatorul este autentificat în browser, obținând astfel acces automat la parolele salvate“, a continuat Stahie.
Cercetătorii Bitdefender au identificat o nouă amenințare informatică de tip info-stealer care afectează sisteme Windows, macOS și Linux, având ca țintă criptomonedele și extensiile de browser. După activarea sa, această amenințare poate:
* Sustrage fișiere importante din extensiile browserului vizate
* Colecta datele de autentificare salvate în browser
* Transmite informațiile către serverele controlate de atacatori
Odată ce a avut loc compromiterea inițială, atacul continuă cu o serie de acțiuni care amplifică efectele acestuia. Programul captează apăsările de taste, monitorizează clipboard-ul și adună informații despre sistem, inclusiv fișiere sensibile și date de autentificare. În plus, atacatorii pot păstra o conexiune activă cu serverele lor, ceea ce le permite accesul constant și furtul continuu al datelor.
În etapa finală, atacatorii instalează componente suplimentare pentru a ocoli soluțiile de securitate și a comunica prin rețele anonime. Malware-ul poate colecta informații despre dispozitivele infectate, poate instala un backdoor pentru acces ulterior și, în anumite cazuri, poate utiliza resursele sistemului pentru a mina criptomonede.
Această campanie ilustrează complexitatea atacului, care folosește multiple tehnici pentru a viza atât utilizatori individuali, cât și organizații.
Cine se află în spatele atacului?
Analizând tacticile și codul periculos, cercetătorii au ajuns la concluzia că atacul provine cel mai probabil din partea grupării Lazarus (APT 38), un actor statal din Coreea de Nord. Aceste grupuri nu sunt motivate doar de furtul de date personale, ci vizează industrii critice, precum aviația, apărarea și energia nucleară, pentru a obține acces la informații clasificate, secrete comerciale și date de acces ale companiilor.
În cazuri extreme, malware-ul rulant pe un dispozitiv dintr-o rețea corporativă ar putea compromite întreaga infrastructură a organizației. Gruparea Lazarus nu se limitează doar la escrocherii de recrutare. Există dovezi că aceștia s-au dat drept specialiști IT și au aplicat pentru joburi reale, infiltrând astfel rețelele companiilor și sustrăgând date sensibile.
