Киберугроза DeceptiveDevelopment: атака на разработчиков ПО

Киберугроза DeceptiveDevelopment: атака на разработчиков ПО

Источник: www.welivesecurity.com

Исследователи ESET выявили новую вредоносную кампанию под названием DeceptiveDevelopment, связанное с действиями северокорейских киберпреступников. С начала 2024 года эта операция нацелена на внештатных разработчиков программного обеспечения, предлагая им поддельные вакансии и тесты по программированию, замаскированные под законные проекты.

Методы атаки

Кампания характеризуется следующими особенностями:

  • Рекрутеры создают поддельные профили на платформах поиска работы.
  • Мошеннические объявления о вакансиях принуждают жертв загружать троянский код.
  • Проекты размещаются в частных репозиториях GitHub и содержат вредоносный код.

Технические детали

Начальная фаза вредоносной доставки известна как BeaverTail, которая выполняет функции как похитителя информации, так и загрузчика. Она реализована как в версии на JavaScript, так и в нативной версии на C++ с использованием платформы Qt framework. Вредоносное ПО предназначено для:

  • Извлечения баз данных браузеров с сохраненной регистрационной информацией.
  • Службы загрузчика для вредоносной программы второй стадии InvisibleFerret.

Модульная программа InvisibleFerret на базе Python включает шпионское ПО и бэкдоры, позволяя злоумышленникам сохранять контроль над пораженными системами. Основной целью атак являются лица, связанные с криптовалютными предприятиями и децентрализованными финансами.

Кибершпионаж и финансовые угрозы

Кампания DeceptiveDevelopment представляет собой значительную финансовую угрозу из-за кражи криптовалютных кошельков, а также имеет последствия для кибершпионажа. Она использует методы социальной инженерии для усиления обманчивости операций.

Недостатки и уязвимости

Анализ вредоносного ПО показал минимальные методы обфускации, при которых важные учетные данные и IP-адреса C&C остаются открытыми. Это указывает на недостаточную тщательность, что потенциально может помочь в устранении неполадок.

Заключение

Секреты о киберпреступниках, стоящих за DeceptiveDevelopment, еще не полностью раскрыты. Однако их инфраструктура, включая использование коммерческих хостинговых услуг, подтверждает северокорейский след. Поскольку вредоносное ПО продолжает развиваться и добавляет новые функции, важно оставаться бдительными на онлайн-платформах по трудоустройству, где любое обращение потенциальных работодателей может оказаться прикрытием для киберпреступной деятельности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: