Киберугроза DeceptiveDevelopment: атака на разработчиков ПО

Источник: www.welivesecurity.com
Исследователи ESET выявили новую вредоносную кампанию под названием DeceptiveDevelopment, связанное с действиями северокорейских киберпреступников. С начала 2024 года эта операция нацелена на внештатных разработчиков программного обеспечения, предлагая им поддельные вакансии и тесты по программированию, замаскированные под законные проекты.
Методы атаки
Кампания характеризуется следующими особенностями:
- Рекрутеры создают поддельные профили на платформах поиска работы.
- Мошеннические объявления о вакансиях принуждают жертв загружать троянский код.
- Проекты размещаются в частных репозиториях GitHub и содержат вредоносный код.
Технические детали
Начальная фаза вредоносной доставки известна как BeaverTail, которая выполняет функции как похитителя информации, так и загрузчика. Она реализована как в версии на JavaScript, так и в нативной версии на C++ с использованием платформы Qt framework. Вредоносное ПО предназначено для:
- Извлечения баз данных браузеров с сохраненной регистрационной информацией.
- Службы загрузчика для вредоносной программы второй стадии InvisibleFerret.
Модульная программа InvisibleFerret на базе Python включает шпионское ПО и бэкдоры, позволяя злоумышленникам сохранять контроль над пораженными системами. Основной целью атак являются лица, связанные с криптовалютными предприятиями и децентрализованными финансами.
Кибершпионаж и финансовые угрозы
Кампания DeceptiveDevelopment представляет собой значительную финансовую угрозу из-за кражи криптовалютных кошельков, а также имеет последствия для кибершпионажа. Она использует методы социальной инженерии для усиления обманчивости операций.
Недостатки и уязвимости
Анализ вредоносного ПО показал минимальные методы обфускации, при которых важные учетные данные и IP-адреса C&C остаются открытыми. Это указывает на недостаточную тщательность, что потенциально может помочь в устранении неполадок.
Заключение
Секреты о киберпреступниках, стоящих за DeceptiveDevelopment, еще не полностью раскрыты. Однако их инфраструктура, включая использование коммерческих хостинговых услуг, подтверждает северокорейский след. Поскольку вредоносное ПО продолжает развиваться и добавляет новые функции, важно оставаться бдительными на онлайн-платформах по трудоустройству, где любое обращение потенциальных работодателей может оказаться прикрытием для киберпреступной деятельности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



