Les attaquants envoient de fausses offres d’emploi et incitent les individus à gérer un voleur JavaScript multiplateforme pour le vol de cryptographie et la persévérance.
Le groupe Lazare lié à la Corée du Nord dure des demandeurs d’emploi et des professionnels dans une campagne en cours qui gère une arnaque de recrutement de LinkedIn pour capturer des informations d’identification de navigateur, voler des données de portefeuille cryptographique et lancer la persistance.
Selon une découverte faite par BitDefender Labs, les acteurs de la menace se contactent avec de fausses offres d’emploi LinkedIn pour attirer les victimes en téléchargeant et en exécutant un voleur d’informations JavaScript à partir d’un point final tiers.
« Nos chercheurs ont noté que la charge utile est un voleur d’informations multiplateforme qui peut être déployé sur les systèmes d’exploitation Windows, MacOS et Linux », ont déclaré les chercheurs BitDefender dans un article de blog. «Ce voleur d’informations est conçu pour cibler une gamme de portefeuilles populaires de crypto-monnaie en recherchant les extensions de navigation liées à la crypto avec (une liste) des identifiants.»
L’analyse des logiciels malveillants et des tactiques opérationnelles a aidé les chercheurs à lier la campagne avec les acteurs de la menace nord-coréenne, en particulier APT38 sur la base des campagnes précédentes du groupe autour des fausses offres d’emploi et des applications.
Les pirates ont couru directement dans les projecteurs
Il est intéressant de noter que la découverte a été rendue possible par les opérateurs de la campagne eux-mêmes car ils ont, par erreur, envoyé une offre d’emploi à l’un des chercheurs Bitdefender.
Le billet de blog a ajouté que la campagne avait commencé par une offre de messages LinkedIn séduisante pour collaborer sur un échange de crypto-monnaie décentralisé. Intérêt, le destinataire a été demandé pour un CV ou un lien GitHub personnel – qui pouvait eux-mêmes être utilisés pour des activités néfastes – qui ont ensuite conduit le criminel partageant un référentiel contenant le «produit minimum viable» (MVP) du faux projet cryptographique.
Un document avec des questions a également été envoyé au long desquels ne pouvait répondre qu’en exécutant la démo invitée sur le lien du référentiel, qui à son tour initie le compte-gouttes malveillants, a ajouté le billet de blog.
Divers utilisateurs de LinkedIn et Reddit ont signalé séparément des activités similaires, les attaquants leur demandant de cloner le référentiel malveillant et de l’exécuter localement ou de corriger les bogues dans ses codes. Bitdefender met en garde contre les drapeaux rouges associés à cette campagne, notamment de vagues descriptions de travail, des référentiels suspects et une mauvaise communication, pour aider les individus à se protéger.
Une attaque similaire a été signalée plus tôt cette semaine, où des acteurs de la menace soutenus par la RPDC ont été trouvés en utilisant une nouvelle variante du malware de la famille MacOS Ferret pour leur campagne «Interviews contagieuse».
Chaîne d’attaque en couches pour crypto-vol et vol d’identification
La charge utile utilisée par les attaquants a été observée comme un voleur d’informations multiplateforme ciblant les portefeuilles de crypto-monnaie. Lors de l’exécution, le voleur collecte d’importants fichiers cryptographiques et de connexion des données des navigateurs utilisés et les envoie à un serveur qui, a noté les chercheurs, avait déjà des données malveillantes non liées.
Après l’exfiltration primaire, le voleur télécharge et exécute un script Python secondaire, main99_65.py, qui a des fonctions dédiées à des activités malveillantes, notamment la récolte et l’extraction de données liées au crypto (mlip.py), le maintien de la persistance (Pay.py) et la collecte Données sensibles du navigateur telles que les connexions et les informations de paiement (Bow.py).
Une autre charge utile (.NET binaire) réduit les dépendances du système de la victime qui ajoutent des scripts malveillants pour modifier la liste des exceptions de Microsoft Defender et établissant des communications C2. Il a également un binaire pour permettre le téléchargement d’un exécutable supplémentaire qui a plusieurs modules de logiciels malveillants, notamment des délais, des voléeurs, des crypto-miners et des génies clés. « La chaîne d’infection des acteurs de la menace est complexe, contenant des logiciels malveillants écrits dans plusieurs langages de programmation et l’utilisation d’une variété de technologies, telles que des scripts Python multicouches », ont déclaré les chercheurs.
