Kuzey Kore’nin Lazarus Grubu, kötü amaçlı yazılım dağıtmak, veri çalmak ve rejimin programlarını finanse etmek için sahte kripto iş görüşmelerindeki ClickFix dolandırıcılığını kullanır.
Sentinellabs ve İnternet istihbarat platformu ValidIn tarafından yapılan yeni bir soruşturma, bulaşıcı röportaj kampanyasının arkasındaki Kuzey Kore tehdit aktörlerinin, kötü niyetli faaliyetlerini iyileştirmek için ValidIn, Maltrail ve Virustotal gibi kamu siber güvenlik platformlarını aktif olarak kötüye kullandığını ortaya koyuyor.
En az 2023’ten beri aktif olan bulaşıcı görüşme kampanyası, kripto para birimi ve blockchain endüstrilerindeki iş arayanları hedefliyor. Amaç, Kuzey Kore’nin yaptırım ekonomisine yardımcı olan ve füze programlarını finanse eden para çalmaktır. Kuzey Kore için gelir elde etmeye odaklanan devlet destekli bir varlık olan daha büyük Lazarus grubunun bir bileşeni olarak değerlendirilmektedir.
Hackread.com ile paylaşılan araştırma, hackerların siber güvenlik profesyonellerinin tehditleri izlemesine, kendi alanlarını izlemesine ve algılamayı önlemek için tasarlanan bu platformları kullandığını ortaya koyuyor. Önemli Operasyonel Güvenlik (OPSEC) Arızalı dosyalar ve dizin içerikleri, araştırmacıların zaman çizelgelerini ve yöntemlerini bir araya getirmelerini sağlar.
Soruşturma, Mart’tan Haziran 2025’e kadar olan süreyi kapsıyor ve Kuzey Koreli bilgisayar korsanlarının muhtemelen Slack gibi iletişim araçlarını kullanarak yüksek koordineli ekiplerde faaliyet gösterdiği endişe verici bir eğilim gösteriyor.
Validin, 11 Mart 2025’teki grubun altyapısı hakkında bir makale yayınladığında, bilgisayar korsanları saatler içinde yanıt verdi ve kendi faaliyetleri hakkında bilgi aramak için hesaplar oluşturdu.
ValidIn ilk hesaplarını engelledikten sonra bile, bilgisayar korsanları devam ederek farklı e -posta adreslerinden ve sahte kişilerden yenilerini yarattı. Bu kişilerin bazıları “Rock Lee” ve “Mar Vel” gibi pop kültürüne atıfta bulunurken, diğerleri meşru şirketleri taklit etti. Bildirildiğine göre, Ocak ve Mart 2025 arasında, kampanya en az 230 kişiyi etkiledi, ancak gerçek sayı muhtemelen çok daha yüksek.

Bilgisayar korsanlarının ClickFix adlı bir sosyal mühendislik tekniği aracılığıyla iş arayanları kandırdıklarını belirtmek gerekir. Bu, kurbanları sahte bir röportaj web sitesine çekmeyi içerir ve burada kamera sorunu gibi fabrikasyon bir hata sunulur. Daha sonra, sorunu çözmek için komut satırlarını kopyalayıp yapıştırmaları, bilmeden kötü amaçlı yazılımları dağıtmaları talimatı verilir.
Saldırılar, yazılım güncellemeleri olarak gizlenmiş kötü amaçlı yazılımları sunmak için tasarlanmış, bulaşmacı adlı özel bir araç kullanılarak gerçekleştirilir. Bir kurbanın Windows, MacOS veya Linux kullanıp kullanmadığını belirlemek için yeterince akıllıdır ve daha sonra doğru tip yazılım türünü gönderir.
Araştırmacılar, bu uygulamaların, bir kurban sahte bir iş değerlendirmesi ile uğraştığında veya kötü amaçlı dosyayı indirdiğinde bilgisayar korsanlarını uyaran yerleşik bir e-posta bildirim sistemine sahip olduğunu gözlemlediler.

Ayrıca, saldırganların sunucu günlükleri, tam adları, e -posta adresleri, telefon numaraları ve IP adresleri de dahil olmak üzere etkilenen kişiler hakkında ayrıntılı bilgi içerdiğinden, bilgisayar korsanlarının bir kurban veritabanı oluşturduğundan şüpheleniyorlar.
Bu kurbanlar esas olarak kripto para birimi sektörü içindeki pazarlama ve finans rollerinde idi ve Archblock, Robinhood ve Etoro gibi tanınmış şirketlerden sahte iş teklifleri ile hedeflendi.
Raporda, bu tehdidi durdurmada en kritik unsurun insan faktörü olduğu ve iş arayanları “istihdam teklifleri ve ilişkili değerlendirmelerle etkileşime girerken artan uyanıklık kullanmaya” çağırdığı sonucuna varıyor.