Producătorul global de soluţii de securitate informatică Bitdefender avertizează asupra unei campanii active desfăşurate de gruparea Lazarus, asociată Coreei de Nord, care vizează organizaţii şi foloseşte oferte false de angajare pe LinkedIn pentru a fura credenţiale de acces şi a distribui ameninţări informatice, au transmis reprezentanţii Bitdefender printr-un comunicat.

„LinkedIn este o platformă pentru profesionişti şi cei aflaţi în căutarea unui loc de muncă, însă a devenit şi un mediu prolific pentru infractorii cibernetici care profită de credibilitatea acestei reţele de socializare. De la oferte de muncă false şi scheme complexe de înşelătorii, până la escrocherii şi atacuri derulate de actori statali, reţeaua este exploatată pentru a manipula aspiraţiile profesionale şi încrederea utilizatorilor. Pentru a ilustra aceste riscuri, specialiştii în securitate informatică de la Bitdefender au analizat o tentativă eşuată de „recrutare” pe LinkedIn, în care atacatorii au făcut o greşeală: au contactat tocmai un cercetător Bitdefender, care le-a descoperit rapid planul fraudulos”, au mai spus reprezentanţii Bitdefender.

Cercetătorii Bitdefender au descoperit o ameninţare informatică de tip info-stealer, capabilă să infecteze Windows, macOS şi Linux şi să colecteze datele asociate unor game largi de portofele de criptomonede şi extensii de browser.

Odată activată, ameninţarea informatică instalată pe sistem poate să întreprindă următoarele acţiuni - fură fişiere importante din extensiile vizate ale browserului, colectează datele de autentificare stocate în browser şi sustrage informaţiile către un server controlat de atacatori, potrivit sursei citate.

După compromiterea iniţială, ameninţarea informatică iniţiază o serie de acţiuni suplimentare pentru a extinde atacul. „Înregistrează apăsările de taste, monitorizează clipboard-ul şi colectează informaţii despre sistem, inclusiv fişiere confidenţiale şi date de autentificare.”

De asemenea, menţine o conexiune activă cu serverele atacatorilor, ceea ce le permite accesul neautorizat şi sustragerea continuă a datelor. Iar în etapa finală, ameninţarea informatică instalează componente suplimentare pentru a ocoli soluţiile de securitate şi a comunica prin reţele anonime.

„Poate colecta informaţii despre dispozitiv, poate instala un backdoor pentru acces ulterior şi, în unele cazuri, foloseşte resursele sistemului pentru a mina criptomonede.”

Practic, totul începe cu un mesaj atrăgător: o oportunitate de a colabora la o platformă de schimb de criptomonede descentralizată. Detaliile sunt vagi, însă promisiunea unui job flexibil, remote şi bine plătit poate atrage victime uşor de păcălit. Versiuni similare ale acestei escrocherii au fost observate şi în alte domenii, precum turismul sau finanţele, au spus reprezentanţii Bitdefender.

 „Dacă victima îşi arată interesul, „procesul de recrutare” continuă cu solicitarea unui CV sau a unui link către un repository GitHub personal. Deşi aceste cereri par inofensive, acestea pot fi folosite pentru a colecta informaţii personale sau pentru a face interacţiunea să pară legitimă.”

Iar după ce obţine informaţiile dorite, atacatorul trimite un set de fişiere ce conţine aşa-numitul „Minimum Viable Product” (MVP) al proiectului, împreună cu un document cu întrebări care pot fi rezolvate doar prin rularea unui demo. „La prima vedere, codul pare inofensiv. Însă, o analiză mai atentă dezvăluie un script ascuns şi dificil de descifrat, care încarcă şi rulează dinamic cod periculos de pe un server extern.”

Analiza tacticilor şi a codului periculos indică o ameninţare derulată de un actor statal, cel mai probabil gruparea Lazarus (APT 38) din Coreea de Nord, spun reprezentanţii Bitdefender. „Aceşti atacatori nu sunt motivaţi doar de furtul de date personale. Ei vizează persoane din industrii critice – aviaţie, apărare, energie nucleară – pentru a obţine acces la informaţii clasificate, secrete comerciale şi date de acces ale companiilor. Într-un scenariu mai grav, rularea acestui malware pe un dispozitiv dintr-o reţea de companie ar putea compromite infrastructura întregii organizaţii. Gruparea Lazarus nu se limitează doar la escrocherii de recrutare. Au fost detectate tentative în care atacatorii se dau drept specialişti IT şi aplică pentru joburi reale, după care infiltrează infrastructurile companiilor pentru a sustrage date sensibile.”

Pe măsură ce platformele sociale devin tot mai frecvent folosite pentru activităţi periculoase, vigilenţa este esenţială, mai transmit reprezentanţii Bitdefender.

„Iată câteva semnale de alarmă şi măsuri de protecţie. Semnale de alarmă: descrieri vagi ale jobului – Lipsa unei postări oficiale pe platforma companiei; repositories suspecte – Aparţin unor utilizatori cu nume aleatorii şi nu conţin documentaţie sau contribuţii relevante; comunicare slabă – Greşeli frecvente de scriere şi refuzul de a oferi metode alternative de contact, cum ar fi e-mailul de companie sau numere de telefon. Folosiţi maşini virtuale, sandbox-uri sau platforme online pentru a testa codul în siguranţă. Verificaţi autenticitatea – Comparaţi ofertele de muncă cu cele de pe site-urile oficiale ale companiilor şi verificaţi domeniile e-mailurilor. Fiţi precauţi – Analizaţi cu atenţie mesajele nesolicitate şi cererile de informaţii personale.”