Подгруппа хакерской организации, связанной с Северной Кореей Lazarus, создала три компании Shell, две в США, чтобы доставить вредоносное ПО для ничего не подозревающих пользователей.
Три фирм -консалтинговых консалтинга криптовалюты – Blocknovas, Angeloper Agency и Softglide – используются инфекционным интервью с северокорейской хакерской группой, чтобы распределить вредоносные программы с помощью поддельных собеседований, сообщили аналитики Silent Push угрозы в отчете 24 апреля.
Аналитик Silent Push Push Senior Analyst Zach Edwards заявил в заявлении 24 апреля X, что две компании Shell зарегистрированы как законные предприятия в Соединенных Штатах.
«Эти веб -сайты и огромная сеть учетных записей по найму/набора сайтов используются для того, чтобы заставить людей подать заявление на работу на работу», – сказал он.
«Во время процесса подачи заявления на работу отображается сообщение об ошибке, когда кто -то пытается записать введенное видео. Решение – это легкий трюк, который нажмите« Скопировать и вставить », которая приводит к вредоносному ПО, если ничего не подозревающий разработчик завершает процесс».
Три штамма вредоносных программ – Beavertail, Invisibleferret и Otter Cookie – используются в соответствии с Silent Push.
Beavertail – это вредоносное ПО, главным образом, предназначено для кражи информации и загрузки дополнительных этапов вредоносного ПО. Ottercookie и InvisibleFerret в основном нацелены на конфиденциальную информацию, включая ключи кошелька криптовалюты и данные буфера обмена.
Аналитики Silent Push заявили в отчете, что хакеры используют веб -сайты GitHub, Listing’s и Freelancer для поиска жертв.
ИИ использовался для создания фальшивых сотрудников
Уловка также вовлекает хакеров, использующих изображения, сгенерированные AI, для создания профилей сотрудников для трех передних криптовалютных компаний и кражи изображений реальных людей.
«Существует множество фальшивых сотрудников и украденных изображений от реальных людей, используемых в этой сети. Мы задокументировали некоторые из очевидных подделок и украденных изображений, но очень важно ценить, что усилия по подражанию этой кампании различны», – сказал Эдвардс.
«В одном из примеров актеры угрозы сделали реальную фотографию от реального человека, а затем, похоже, запустили ее через инструмент модификатора изображения ИИ, чтобы создать тонко другую версию того же изображения».
Связанный: Поддельное увеличение вредоносных программ ворует криптовалюту, в то время как она «застряла», пользователь предупреждает
Эта вредоносная кампания продолжается с 2024 года. Эдвардс говорит, что есть известные общественные жертвы.
Silent Push определил двух разработчиков, на которые была нацелена кампания;Один из них, как сообщается, скомпрометировал кошелек Metamask.
ФБР с тех пор закрыло хотя бы одну из компаний.
«Федеральное бюро расследований (ФБР) приобрело домен Blocknovas, но Softglide все еще живет, наряду с некоторыми из других их инфраструктуры», – сказал Эдвардс.
По меньшей мере три основатели криптовалюты сообщили в марте, что они сорвали попытку предполагаемых северокорейских хакеров украсть конфиденциальные данные с помощью поддельных звонков зум.
Такие группы, как The Lazarus Group, являются основными подозреваемыми в некоторых из крупнейших кибер -краев в Web3, включая взлом Bybit 1,4 млрд. Долл. США и взлом Ronin Network 600 миллионов долларов.
