Business Hi-Tech

Producatorul global de solutii de securitate informatica Bitdefender avertizeaza asupra unei campanii active desfasurate de gruparea Lazarus, asociata Coreei de Nord, care vizeaza organizatii si foloseste oferte false de angajare pe LinkedIn pentru a fura credentiale de acces si a distribui amenintari informatice, au transmis reprezentantii Bitdefender printr-un comunicat.

"LinkedIn este o platforma pentru profesionisti si cei aflati in cautarea unui loc de munca, insa a devenit si un mediu prolific pentru infractorii cibernetici care profita de credibilitatea acestei retele de socializare. De la oferte de munca false si scheme complexe de inselatorii, pana la escrocherii si atacuri derulate de actori statali, reteaua este exploatata pentru a manipula aspiratiile profesionale si increderea utilizatorilor. Pentru a ilustra aceste riscuri, specialistii in securitate informatica de la Bitdefender au analizat o tentativa esuata de "recrutare" pe LinkedIn, in care atacatorii au facut o greseala: au contactat tocmai un cercetator Bitdefender, care le-a descoperit rapid planul fraudulos", au mai spus reprezentantii Bitdefender.

Cercetatorii Bitdefender au descoperit o amenintare informatica de tip info-stealer, capabila sa infecteze Windows, macOS si Linux si sa colecteze datele asociate unor game largi de portofele de criptomonede si extensii de browser. Odata activata, amenintarea informatica instalata pe sistem poate sa intreprinda urmatoarele actiuni - fura fisiere importante din extensiile vizate ale browserului, colecteaza datele de autentificare stocate in browser si sustrage informatiile catre un server controlat de atacatori, potrivit sursei citate.

Dupa compromiterea initiala, amenintarea informatica initiaza o serie de actiuni suplimentare pentru a extinde atacul. "Inregistreaza apasarile de taste, monitorizeaza clipboard-ul si colecteaza informatii despre sistem, inclusiv fisiere confidentiale si date de autentificare."

De asemenea, mentine o conexiune activa cu serverele atacatorilor, ceea ce le permite accesul neautorizat si sustragerea continua a datelor. Iar in etapa finala, amenintarea informatica instaleaza componente suplimentare pentru a ocoli solutiile de securitate si a comunica prin retele anonime.

"Poate colecta informatii despre dispozitiv, poate instala un backdoor pentru acces ulterior si, in unele cazuri, foloseste resursele sistemului pentru a mina criptomonede."

Practic, totul incepe cu un mesaj atragator: o oportunitate de a colabora la o platforma de schimb de criptomonede descentralizata. Detaliile sunt vagi, insa promisiunea unui job flexibil, remote si bine platit poate atrage victime usor de pacalit. Versiuni similare ale acestei escrocherii au fost observate si in alte domenii, precum turismul sau finantele, au spus reprezentantii Bitdefender.

"Daca victima isi arata interesul, "procesul de recrutare" continua cu solicitarea unui CV sau a unui link catre un repository GitHub personal. Desi aceste cereri par inofensive, acestea pot fi folosite pentru a colecta informatii personale sau pentru a face interactiunea sa para legitima."

Iar dupa ce obtine informatiile dorite, atacatorul trimite un set de fisiere ce contine asa-numitul "Minimum Viable Product" (MVP) al proiectului, impreuna cu un document cu intrebari care pot fi rezolvate doar prin rularea unui demo. "La prima vedere, codul pare inofensiv. Insa, o analiza mai atenta dezvaluie un script ascuns si dificil de descifrat, care incarca si ruleaza dinamic cod periculos de pe un server extern."

Analiza tacticilor si a codului periculos indica o amenintare derulata de un actor statal, cel mai probabil gruparea Lazarus (APT 38) din Coreea de Nord, spun reprezentantii Bitdefender. "Acesti atacatori nu sunt motivati doar de furtul de date personale. Ei vizeaza persoane din industrii critice - aviatie, aparare, energie nucleara - pentru a obtine acces la informatii clasificate, secrete comerciale si date de acces ale companiilor. Intr-un scenariu mai grav, rularea acestui malware pe un dispozitiv dintr-o retea de companie ar putea compromite infrastructura intregii organizatii. Gruparea Lazarus nu se limiteaza doar la escrocherii de recrutare. Au fost detectate tentative in care atacatorii se dau drept specialisti IT si aplica pentru joburi reale, dupa care infiltreaza infrastructurile companiilor pentru a sustrage date sensibile."

Pe masura ce platformele sociale devin tot mai frecvent folosite pentru activitati periculoase, vigilenta este esentiala, mai transmit reprezentantii Bitdefender.

"Iata cateva semnale de alarma si masuri de protectie. Semnale de alarma: descrieri vagi ale jobului - Lipsa unei postari oficiale pe platforma companiei; repositories suspecte - Apartin unor utilizatori cu nume aleatorii si nu contin documentatie sau contributii relevante; comunicare slaba - Greseli frecvente de scriere si refuzul de a oferi metode alternative de contact, cum ar fi e-mailul de companie sau numere de telefon. Folositi masini virtuale, sandbox-uri sau platforme online pentru a testa codul in siguranta. Verificati autenticitatea - Comparati ofertele de munca cu cele de pe site-urile oficiale ale companiilor si verificati domeniile e-mailurilor. Fiti precauti - Analizati cu atentie mesajele nesolicitate si cererile de informatii personale."