Lazarus Group эволюционирует тактику для нацеливания на соискателей заданий CEFI с помощью вредоносных программ `clickfix`

В недавнем отчете о кибербезопасности Sekoia выявлена ​​развивающаяся угроза, создаваемая Lazarus Group, пресловутой хакерской группы, связанной с Северной Кореей. В настоящее время он использует тактику, известную как «Clickfix» для целевых соискателей в секторе криптовалюты, особенно в централизованных финансах (CeFi).

Этот подход знаменует собой адаптацию предыдущей кампании группы «Интагиозное интервью», которая ранее была нацелена на разработчиков и инженеров в области искусственного интеллекта и крипто-связанных ролей.

Лазарь эксплуатирует крипто -найм

В недавно наблюдаемой кампании Lazarus переключил свое внимание на нетехнических специалистов, таких как персонал по маркетингу и развитию бизнеса, выдавая себя за крупные крипто-фирмы, такие как Coinbase, Kucoin, Kraken и даже Stablecoin Esure Tether.

Злоумышленники создают мошеннические веб -сайты, имитирующие порталы заявок на работу и заманивают кандидатов с фальшивыми приглашениями на собеседование. Эти сайты часто включают в себя реалистичные формы заявок и даже запросы на введение видео, способствуя чувству легитимности.

Однако, когда пользователь пытается записать видео, им отображается изготовленное сообщение об ошибке, которое обычно предполагает неисправность веб -камеры или драйвера. Затем страница предлагает пользователю запускать команды PowerShell под видом устранения неполадок, тем самым вызывая загрузку вредоносных программ.

Этот метод ClickFix, хотя и относительно новый, становится все более распространенным из -за его психологической простоты - поскольку пользователи считают, что они решают техническую проблему, а не выполняют вредоносный код. Согласно Sekoia, кампания опирается на материалы из 184 фальшивых приглашений на собеседование, ссылаясь на по меньшей мере 14 выдающихся компаний, чтобы поддержать доверие.

Таким образом, последняя тактика демонстрирует растущую изощренность Лазаря в социальной инженерии и ее способность эксплуатировать профессиональные устремления людей на конкурентном рынке криптовалютных труда. Интересно, что этот сдвиг также предполагает, что группа расширяет свои критерии таргетирования, нацеливаясь не только на тех, кто имеет доступ к коду или инфраструктуре, но и на тех, кто может обрабатывать конфиденциальные внутренние данные или иметь возможность непреднамеренно облегчить нарушения.

Несмотря на появление Clickfix, Sekoia сообщила, что оригинальная инфекционная кампания интервью остается активной. Это параллельное развертывание стратегий предполагает, что коллектив, спонсируемый государством Северной Кореи, может проверять их относительную эффективность или тактику адаптации к различной целевой демографии. В обоих случаях кампании разделяют постоянную цель-предоставление вредоносной программы по устранению информации через доверенные каналы и манипулируя жертвами в самообзняке.

Lazarus позади Bybit Hack

Федеральное бюро расследований (ФБР) официально объяснило атаку в 1,5 млрд. Долл. США на Лазарусную группу. Хакеры, нацеленные на крипто -биржу, использовали поддельные предложения о работе, чтобы обмануть персонал в установку испорченного торгового программного обеспечения, известного как «Tradertoraitor».

Несмотря на то, что они созданы для того, чтобы выглядеть подлинно через кроссплатформенную разработку JavaScript и Node.js, приложения встраивали вредоносное ПО, предназначенное для кражи частных ключей и выполнения незаконных транзакций на блокчейне.