Silent Push, Kuzey Koreli bilgisayar korsanlarının kripto şirketleri olarak poz verdikleri ve kötü amaçlı yazılım dağıtmak için sahte iş görüşmelerini kullanarak karmaşık bir plan ortaya koyuyor. Kendinizi bu aldatıcı taktiklerden koruyun.
Siber güvenlik firması Silent Push, kötü şöhretli Lazarus grubuna bir bağlantısı olan bulaşıcı röportaj olarak bilinen bir Kuzey Koreli hacker grubu tarafından yürütülen akıllı bir operasyonu ortaya çıkardı.
Bildirildiğine göre, bulaşıcı röportaj, üç farklı sahte kripto para şirketi aracılığıyla kripto dünyasında iş arayan insanları kandırıyor: Blocknovas LLC, Angeloper Ajansı ve SoftGlide LLC. Hedefleri? İş adaylarını bilgisayarlarına zararlı yazılım indirmeye teşvik etmek.
Silent Push’un soruşturmasına göre, sadece hackread.com ile paylaşılan bu sahte şirketler, başvuru sahiplerini çekmek için CryptoJobslist, Cryptotask ve Upwork gibi tanınmış platformlar da dahil olmak üzere çeşitli web sitelerinde iş ilanları kullanıyor.
Birisi başvurduktan sonra, bilgisayar korsanları onlara röportajla ilgili meşru dosyalara benzeyen şeyleri gönderir. Ancak, bu dosyalar kötü amaçlı yazılım içerir. Araştırmacılar, bu kampanyada Beaverail, InvisibleFerret ve Ottercookie dahil olmak üzere çeşitli kötü amaçlı yazılım türlerini gözlemlediler.
Scam’in gerçek görünmesini sağlamak için, bulaşıcı röportaj, çalışan profilleri için yapay zeka (AI) araçları tarafından oluşturulan görüntüleri kullanır. Özellikle, bu sahte yüzlerden bazılarını üretmek için Remaker AI kullandılar. Ayrıca, GitHub ve iş web siteleri gibi gerçek çevrimiçi platformları daha güvenilir görünmek için kullanırlar.
Silent Push’un soruşturması, bulaşıcı röportajın karmaşık siber saldırılar gerçekleştirme geçmişine sahip olduğunu ortaya koydu. Bu yeni planda, kötü amaçlı yazılımlarını yaymak için sahte iş teklifleri ve bu üç ön şirket kullanıyorlar. Bir kurbanın bilgisayarı enfekte olduktan sonra, bilgisayar korsanları potansiyel olarak ona uzaktan erişebilir ve hassas verileri çalabilir. VPN’ler gibi araçları kullanarak çevrimiçi etkinliklerini bile gizlemeye çalışıyorlar.
Analistler, kötü amaçlı yazılımları, bilgisayar korsanları tarafından kullanılan belirli web sitelerine ve internet adreslerine başarıyla izlediler. lianxinxiaocomve hatta bir blocknovas alt alanında gizli bir çevrimiçi “kontrol paneli” buldum (mailblocknovascom) Bilgisayar korsanları sahte web sitelerini ve diğer araçlarını izliyorlardı. Bu “önemli OPSEC hatası” farklı sahte şirketleri ve kullanılan kötü amaçlı yazılımları belirlemelerine yardımcı oldu.
Daha fazla araştırma birçok kırmızı bayrak ortaya çıktı. Örneğin, Mehmet Demir adlı bir arka uç geliştiricinin profil resmi, üç sahte şirkete bağlıdır. Bu kişi üç sahte şirketle bağlantılıdır ve Bigrocks918 takma adı altında şüpheli bir çevrimiçi etkinlik geçmişine sahiptir. Başka bir kullanıcı olan TheGoodEarth918, aynı sayısal son eki ‘918’i paylaştı, aynı e -postayı kullandı ve SoftGlide ile bağlantılıydı.
Blocknovas Gabriel Lima’nın CTO’su olarak tanımlanan bir kullanıcı olan “Hades255”, AI tarafından oluşturulan bir fotoğraf ve şüpheli bir özgeçmişe sahiptir. Diğer çalışan profilleri, dijital ayak izlerindeki AI tarafından oluşturulan fotoğraflar ve diğer tutarsızlıklarla sahte olma belirtileri de gösterir. Blocknovas’ın işvereni bile Alexander Nolan, şirketle bağlantısı olmayan gerçek bir kişinin imajını kullanıyor.
Sahte iş başvurusu web sitelerindeki dosyaların analizi, FrostyFerret de dahil olmak üzere daha kötü amaçlı yazılımlara yol açan gizli bağlantılar ve muhtemelen nispeten yeni kripto teknolojisini hedefleyen Kryptoneer adlı alışılmadık bir kontrol panelini ortaya çıkardı.
Sessiz Push araştırmacıları, iş arayanları olağandışı görüşme süreçlerine karşı dikkatli olmaları, tanıdık olmayan kodlar çalıştırma talepleri ve doğru olamayacak kadar iyi görünen veya genel görünümlü fotoğraflar kullanan çalışan profilleri konusunda uyarıyor. Araştırmacılar, bu Kuzey Koreli bilgisayar korsanlarının şüphesiz bireyleri kandırmak için giderek daha karmaşık yöntemler kullanıyor ve farkındalık en iyi savunmadır.