Северокорейские хакеры создали 3 оболочки для мошенничества с криптовалютой разработчиками

Подгруппа хакерской организации, связанной с Северной Кореей Lazarus, создала три компании Shell, две в США, чтобы доставить вредоносное ПО для ничего не подозревающих пользователей.

Три фирм -консалтинговых консалтинга криптовалюты – Blocknovas, Angeloper Agency и Softglide – используются инфекционным интервью с северокорейской хакерской группой, чтобы распределить вредоносные программы с помощью поддельных собеседований, сообщили аналитики Silent Push угрозы в отчете 24 апреля.

Аналитик Silent Push Push Senior Analyst Zach Edwards заявил в заявлении 24 апреля X, что две компании Shell зарегистрированы как законные предприятия в Соединенных Штатах.

«Эти веб -сайты и огромная сеть учетных записей по найму/набора сайтов используются для того, чтобы заставить людей подать заявление на работу на работу», – сказал он.

«Во время процесса подачи заявления на работу отображается сообщение об ошибке, когда кто -то пытается записать введенное видео. Решение – это легкий трюк, который нажмите« Скопировать и вставить », которая приводит к вредоносному ПО, если ничего не подозревающий разработчик завершает процесс».

Три штамма вредоносных программ – Beavertail, Invisibleferret и Otter Cookie – используются в соответствии с Silent Push.

Beavertail – это вредоносное ПО, главным образом, предназначено для кражи информации и загрузки дополнительных этапов вредоносного ПО. Ottercookie и InvisibleFerret в основном нацелены на конфиденциальную информацию, включая ключи кошелька криптовалюты и данные буфера обмена.

Аналитики Silent Push заявили в отчете, что хакеры используют веб -сайты GitHub, Listing’s и Freelancer для поиска жертв.

ИИ использовался для создания фальшивых сотрудников

Уловка также вовлекает хакеров, использующих изображения, сгенерированные AI, для создания профилей сотрудников для трех передних криптовалютных компаний и кражи изображений реальных людей.

«Существует множество фальшивых сотрудников и украденных изображений от реальных людей, используемых в этой сети. Мы задокументировали некоторые из очевидных подделок и украденных изображений, но очень важно ценить, что усилия по подражанию этой кампании различны», – сказал Эдвардс.

«В одном из примеров актеры угрозы сделали реальную фотографию от реального человека, а затем, похоже, запустили ее через инструмент модификатора изображения ИИ, чтобы создать тонко другую версию того же изображения».

Связанный: Поддельное увеличение вредоносных программ ворует криптовалюту, в то время как она «застряла», пользователь предупреждает

Эта вредоносная кампания продолжается с 2024 года. Эдвардс говорит, что есть известные общественные жертвы.

Silent Push определил двух разработчиков, на которые была нацелена кампания;Один из них, как сообщается, скомпрометировал кошелек Metamask.

ФБР с тех пор закрыло хотя бы одну из компаний.

«Федеральное бюро расследований (ФБР) приобрело домен Blocknovas, но Softglide все еще живет, наряду с некоторыми из других их инфраструктуры», – сказал Эдвардс.

По меньшей мере три основатели криптовалюты сообщили в марте, что они сорвали попытку предполагаемых северокорейских хакеров украсть конфиденциальные данные с помощью поддельных звонков зум.

Такие группы, как The Lazarus Group, являются основными подозреваемыми в некоторых из крупнейших кибер -краев в Web3, включая взлом Bybit 1,4 млрд. Долл. США и взлом Ronin Network 600 миллионов долларов.