СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.04.2025
#ИБ#Инфра

Ларазус атакует криптоиндустрию: новая угроза ClickFake Interview

Ларазус атакует криптоиндустрию: новая угроза ClickFake Interview

Спонсируемая государством хакерская группа Lazarus, связанная с Северной Кореей, продолжает атаковать криптовалютную индустрию с целью получения финансовой выгоды. С 2017 года их методы эволюционируют, и недавняя кампания, названная ClickFake Interview, демонстрирует новую тактику, включающую использование поддельных веб-сайтов для проведения собеседований при приеме на работу.

Методы атаки

Кампания ClickFake Interview нацелена на людей, работающих в криптовалютном секторе, причем акцент сделан на профили с меньшим уровнем технических знаний. Это делает их более уязвимыми к вредоносному ПО, загружаемому в процессе найма.

Важными особенностями данной кампании являются:

  • Использование поддельных веб-сайтов, созданных с применением ReactJS, для маскировки вредоносных действий.
  • Техника ClickFix, которая направляет пользователей на сайты, кажущиеся законными для собеседований.
  • Запуск вредоносного ПО, включая бэкдор GolangGhost, с помощью скриптов VBS для Windows и Bash для macOS.

Технические детали

Для пользователей Windows скрипт VBS запускает загрузку и выполнение бэкдора на основе Go. В то время как для macOS используется программа-перехватчик FrostyFerret, которая получает системные пароли перед внедрением GolangGhost.

Вредоносное ПО GolangGhost представляет собой серьезную угрозу, так как позволяет удаленно управлять системой и красть данные, включая информацию из браузера. Оно взаимодействует с сервером управления (C2) и может выполнять команды, такие как:

  • Загрузка файлов
  • Выполнение команд командной строки
  • Поиск данных о зараженной машине

Анализ и выводы

Кампания ClickFake Interview воспринимается как продолжение предыдущих атак, таких как Contagious Interview. Это указывает на постоянство и эволюцию тактики Lazarus, которая сместила фокус с децентрализованных финансовых услуг (DeFi) на централизованные финансовые услуги (CeFi).

Как отмечают эксперты:

“Кампания демонстрирует изощренное использование социальной инженерии и передовой технической тактики для воздействия на уязвимых людей в сфере криптовалют.”

Таким образом, ClickFake Interview не только отражает текущее состояние угроз в кибербезопасности, но и подчеркивает важность защиты от атак, использующих человеческое доверие и технические уязвимости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: