Bitdefender Labs varuje pred aktívnou kampaňou skupiny Lazarus Group napojenej na Severnú Kóreu, ktorá sa zameriava na organizácie získavaním prihlasovacích údajov a doručovaním malvéru prostredníctvom falošných pracovných ponúk v sieti LinkedIn.
LinkedIn môže byť dôležitým nástrojom pre uchádzačov o zamestnanie a profesionálov, ale stal sa aj ihriskom pre kyberzločincov, ktorí využívajú jeho dôveryhodnosť. Od falošných pracovných ponúk a prepracovaných phishingových schém až po podvody a dokonca štátom financované organizácie, ktoré sa priživujú na kariérnych ašpiráciách ľudí a ich dôvere v profesionálne siete.
Aby sme si na takéto scenáre posvietili, v tomto článku sa pozrieme na podvodnú taktiku neúspešnej „náborovej“ operácie na sieti LinkedIn, pri ktorej útočníci urobili jednu zásadnú chybu: zamerali sa na výskumníka spoločnosti Bitdefender, ktorý rýchlo odhalil ich nekalé zámery.
Príprava: lákavá ponuka práce
Podvod začína lákavou správou: možnosť spolupracovať na decentralizovanej burze kryptomien. Hoci sú podrobnosti zámerne nejasné, prísľub práce na diaľku, flexibility na čiastočný úväzok a zodpovedajúceho platu môže nič netušiacich jednotlivcov nalákať. Boli zaznamenané variácie tohto podvodu, pričom projekty údajne zahŕňajú cestovanie alebo finančné oblasti.
Keď cieľová osoba prejaví záujem, začne sa „náborový proces“, v ktorom podvodník požiada o životopis alebo dokonca o odkaz na osobný repozitár GitHub. Hoci tieto žiadosti vyzerajú nevinne, môžu byť použité na nekalé účely, napríklad na zhromažďovanie osobných údajov alebo na vytvorenie dojmu legitímnosti interakcie.
Odoslané súbory poskytnuté „kandidátom“ určite použije „náborár“, ktorý môže zhromažďovať informácie a použiť ich na ďalšiu legitímnu konverzáciu s nič netušiacou obeťou.
Pasca: Spustenie škodlivého kódu
Po získaní požadovaných informácií útočník zdieľa úložisko obsahujúce „minimálny životaschopný produkt“ (MVP) projektu. Priloží aj dokument s otázkami, na ktoré možno odpovedať len spustením ukážky.
Na prvý pohľad sa zdá, že kód je neškodný. Pri podrobnejšom skúmaní však zistíte, že ide o silne obfuskovaný skript, ktorý dynamicky načítava škodlivý kód z koncového bodu tretej strany.
Naši analytici zistili, že ide o multiplatformový nástroj na krádež informácií, ktorý možno nasadiť v operačných systémoch Windows, MacOS a Linux. Tento infostealer je navrhnutý tak, aby sa zameral na niekoľko populárnych kryptopeňaženiek vyhľadávaním rozšírení prehliadača súvisiacich s kryptomenami s nasledujúcimi identifikátormi:
Po nasadení zlodej zhromažďuje dôležité súbory súvisiace s týmito rozšíreniami, pričom zhromažďuje prihlasovacie údaje použitých prehliadačov a exfiltruje informácie na škodlivú IP adresu, ktorá sa javí ako adresa obsahujúca ďalšie škodlivé súbory na serveri. Po exfiltrácii prihlasovacích údajov a údajov súvisiacich s rozšíreniami stiahne a spustí skript Python s názvom main99_65.py, ktorý pripraví pôdu pre ďalšie škodlivé aktivity.
Skript Python sa rekurzívne dekomprimuje a dekóduje, až sa nakoniec odhalí ďalšia fáza - skrytý skript, ktorý ďalej umožňuje stiahnuť tri ďalšie moduly Python:
Zachytáva udalosti klávesnice špeciálne zamerané na webové prehliadače.
Monitoruje zmeny schránky v celom systéme a vyhľadáva údaje súvisiace so šifrovaním.
Okamžite odošle ukradnuté údaje na vzdialený server ovládaný útočníkom.
Hlási útočníkovi informácie o systéme/sieti.
Vyhľadá a exfiltruje cenné súbory (dokumenty, systémové premenné, súkromné kľúče, kryptografické mnemotechniky) a nahrá ich na server C2 útočníka.
Udržiava trvalý komunikačný kanál pre ďalšie príkazy a skripty.
Funguje s týmito prehliadačmi: Chrome, Brave, Opera, Yandex, Microsoft Edge.
Extrahuje a exfiltruje citlivé údaje prehliadača (prihlasovacie a platobné údaje) pre systémy Windows, Linux a macOS.
Vykonáva pythonovský skript Tsunami Injector, ktorý sa pripája k niekoľkým Pastebinom, aby sa dostal na adresu URL s plateným nákladom (.exe 617205f5a241c2712d4d0a3b06ce3afd)
Ďalšie payloady vo fronte (binárny súbor .NET) spustí ďalšie závislosti paralelne s hlavným payloadom. Jedna zo závislostí pridá škodlivé binárne súbory do zoznamu výnimiek programu Microsoft Defender a tiež stiahne a spustí proxy server Tor, ktorý komunikuje so serverom C2 (Command & Control). Okrem toho binárny súbor stiahne aj ďalší škodlivý spustiteľný súbor zo servera Tor C2, nainštaluje .NET 6.0, ak ešte nie je nainštalovaný, a exfiltruje nasledujúce informácie o obeti (fingerprinting):
Názov hostiteľa
Používateľské meno
Operačný systém
Názov procesora a počet jadier
Názov grafického procesora
Informácie o pamäti RAM
Verejná IP adresa, krajina a mesto
Spustiteľný súbor stiahnutý zo servera Tor C2 obsahuje niekoľko modulov, ktoré sú spustené v niekoľkých vláknach:
Backdoor - vykonáva širokú škálu operácií zhromažďovania údajov (heslá prehliadača, relácie, kľúče kryptografickej peňaženky, heslá k účtu Discord);
„Secret file“ stealer - konfigurovateľný stealer, ktorý skenuje a exfiltruje súbory na základe zadaných pravidiel načítaných zo servera C2;
Crypto-miner - tiež konfigurovateľný. Môže byť obmedzený na základe určitých sledovaných metrík (zaťaženie CPU a GPU, jadrá CPU, množstvo RAM, prebiehajúca aktivita);
Keylogger - využíva rozhranie win32 API na zachytávanie, ukladanie a exfiltráciu stlačených klávesov.
Infekčný reťazec je komplexný a zahŕňa škodlivý softvér napísaný vo viacerých programovacích jazykoch a využívajúci rôzne technológie, ako sú viacvrstvové skripty Python, ktoré sa rekurzívne dekódujú a vykonávajú samy, kradnúci JavaScript, ktorý najprv zhromažďuje údaje prehliadača a až potom sa presúva k ďalším užitočným zaťaženiam, a stageri na báze .NET, ktorí dokážu deaktivovať bezpečnostné nástroje, konfigurovať proxy server Tor a spúšťať ťažobne kryptomien.
Škodlivý softvér infikuje systémy Windows, macOS a Linux vďaka kompatibilite medzi platformami, používa rôzne metódy exfiltrácie (HTTP, Tor a útočníkom kontrolované IP adresy) a obsahuje moduly na keylogging, prieskum systému, zber súborov a nepretržitú komunikáciu C2, čo dokazuje šírku a komplexnosť jeho schopností.
Hlavný organizátor: štátom podporovaný útočník
Analýza škodlivého softvéru a operačných taktík jednoznačne naznačuje účasť štátom sponzorovaných aktérov, konkrétne zo Severnej Kórey. Títo aktéri, ktorí boli predtým spájaní so škodlivými ponukami práce a falošnými žiadosťami o zamestnanie, majú väzby na skupiny ako Lazarus Group (APT 38).
Ich ciele presahujú rámec krádeže osobných údajov. Kompromitovaním osôb pracujúcich v odvetviach, ako je letecký, obranný a jadrový priemysel, sa snažia exfiltrovať utajované informácie, patentované technológie a poverenia spoločností. V tomto prípade by spustenie škodlivého softvéru na podnikových zariadeniach mohlo útočníkom umožniť prístup k citlivým podnikovým údajom, čím by sa škody ešte znásobili.
Hoci sme sa v tomto článku zaoberali škodlivými ponukami práce, bolo zistené, že tí istí útočníci sa pokúšali preniknúť do rôznych spoločností falšovaním identity a uchádzali sa o mnohé pracovné pozície. Výsledok by bol približne rovnaký: súkromné informácie, poverenia a technológie by boli exfiltrované firemnými špiónmi.
Aktuálny a úplný zoznam indikátorov kompromitácie je k dispozícii používateľom služby Bitdefender Advanced Threat Intelligence nájdete tu.
Ako zostať v bezpečí
Vzhľadom na to, že sociálne platformy sa čoraz častejšie stávajú ohniskom podvodných aktivít, je nevyhnutné byť ostražitý. Tu je niekoľko varovných signálov a opatrení na vašu ochranu:
Červené vlajky:
Vágne popisy pracovných miest: na platforme nie sú žiadne zodpovedajúce pracovné miesta.
Podozrivé úložiská: Patria používateľom s náhodnými menami a chýba im náležitá dokumentácia alebo príspevky.
Zlá komunikácia: Časté pravopisné chyby a odmietanie poskytnúť alternatívne spôsoby kontaktu, ako sú firemné e-maily alebo telefónne čísla.
Odporúčané postupy:
Vyhnite sa spúšťaniu neovereného kódu: Na bezpečné testovanie kódu používajte virtuálne stroje, pieskoviská alebo online platformy.
Krížovo skontrolujte pracovné ponuky na oficiálnych webových stránkach spoločnosti a potvrďte e-mailové domény.
Buďte opatrní: Starostlivo kontrolujte nevyžiadané správy a žiadosti o osobné údaje.
V ideálnom prípade nikdy nespúšťajte zdrojový kód tretích strán na firemných zariadeniach a na osobných počítačoch používajte virtuálne počítače, pieskoviská alebo rôzne online platformy. To by síce zvýšilo určité administratívne náklady, ale zabránilo by to úniku a zneužitiu osobných informácií v budúcnosti.
Overovanie podozrivých textov, správ, kódov QR atď.
Ak máte podozrenie, že sa vás niekto pokúša podviesť, alebo ak webová stránka vyzerá podozrivo, skontrolujte ju pomocou Scamio, naša bezplatná služba na odhaľovanie podvodov pomocou umelej inteligencie. Pošlite akékoľvek texty, správy, odkazy, kódy QR alebo obrázky na službe Scamio, ktorá ich zanalyzuje a určí, či sú súčasťou podvodu. Služba Scamio je bezplatná a dostupná v aplikáciách Facebook Messenger, WhatsApp, webovém prohlížeči a Discord. Môžete tiež bezplatne použiť náš praktický nástroj Link Checker, ktorá overuje legitímnosť odkazov a chráni vaše zariadenie, údaje a identitu pred zneužitím.
AUTOR
 | Ionut Alexandru BALTARIU Som softvérový inžinier s vášňou pre kybernetickú bezpečnosť a digitálne súkromie. |
 | Andrei ANTON-AANEI Andrei je absolventom automatického riadenia a počítačového inžinierstva a nadšeným výskumníkom v oblasti kybernetických hrozieb. |
 | Alina BÎZGĂ |
Comments