Хакерская кампания «Contagious Interview»: методы и последствия

28 декабря 2024 года Twitter-пользователь @tayvano_ обнародовал информацию о кибератаке, известной как «Contagious Interview». По предположениям, данная кампания имеет связь с хакерами из Северной Кореи, которые применяют инновационные методы для кражи криптовалюты и доступа к конфиденциальной информации.
Схема атаки
Хакеры использовали платформы, такие как LinkedIn, для установления контакта с потенциальными жертвами. Они предлагали фальшивые собеседования, направляя пользователей по ссылкам на сайты, которые выдавали себя за легитимные ресурсы, такие как Willo. Как только жертвы переходили по данным ссылкам, им предлагалось загрузить вредоносный файл.
Методы пострадавших
Обнаруженные методы в рамках «Contagious Interview» напоминают распространенные тактики киберпреступников и включают:
- Установка Trojans, включая удаленные доступные программы (RATs).
- Использование LummaC2 Stealer для кражи данных.
- Нацеленность на криптовалютные кошельки.
Технические детали
В рамках кампании @tayvano_ совместно с @500mk500 проанализировали вредоносный файл, который содержал элементы, такие как:
- Исходный код на Golang.
- Приложение Chrome Update Mach-O для различных операционных систем (Windows, Mac, Linux).
- Скрипт ffmpeg.sh для автоматизации загрузки и реализации угрозы.
Данный скрипт создавал службу LaunchAgent для вредоносного ПО и запускал приложение ChromeUpdateAlert.app, чтобы продолжить свои функции.
Функции вредоносного ПО
Анализ вредоносной нагрузки показал, что она включает обширные функции, такие как:
- RunDll для связи с сервером управления (C2).
- Генерация уникальных идентификаторов для каждой жертвы.
- Нацеливание на расширение MetaMask Wallet, а также модификация настроек браузера Chrome.
- Кража данных с Mac и Windows через эксфильтрацию паролей и учетных данных.
Защита от угроз
Поддельное приложение ChromeUpdateAlert.app имело механизм эксфильтрации, используя API Dropbox для отправки собранных данных на удаленный сервер.
Кампания «Contagious Interview» иллюстрирует растущую угрозу со стороны финансово мотивированных хакеров, и настоятельно рекомендуется личным и организационным пользователям:
- Быть бдительными в отношении подозрительных предложений о работе.
- Использовать надежные меры кибербезопасности.
- Обновлять программное обеспечение и системы безопасности на устройствах.
Данная кампания подчеркивает необходимость постоянного мониторинга киберугроз и применения проактивных мер по защите конфиденциальных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



