Північнокорейські хакери націлюються на розробників Крипто з фірмами-оболонками США

Незаконно завантажені програми можуть викрадати дані, надавати віддалений доступ до заражених систем і служити точками входу для додаткових шпигунських програм або програм-вимагачів.

Північнокорейські хакери, видаючи себе за американських технологічних підприємців, тихо зареєстрували компанії в Нью-Йорку та Нью-Мексико в рамках кампанії з компрометації розробників у Крипто , заявила в четвер охоронна фірма Silent Push.

Два підприємства, Blocknovas і Softglide, були створені з використанням вигаданих імен і адрес. Операція прив’язана до підгрупи групи Lazarus.

Хакерський підрозділ, який підтримується Північною Кореєю, вкрав Крипто на мільярди за останні роки, використовуючи складні методи та стратегії, націлені на нічого не підозрюючих осіб або компанії.

«Це RARE приклад того, як північнокорейським хакерам вдалося створити юридичні особи в США, щоб створити корпоративні фасади, які використовуються для нападу на нічого не підозрюючих претендентів на роботу», — сказав Кейсі Бест, директор відділу розвідки загроз у Silent Push.

Посібник хакерів настільки ж маніпулятивний, як і ефективний: використовуйте фальшиві профілі в стилі LinkedIn і оголошення про роботу, щоб заманити розробників Крипто на співбесіду. Потім, під час процесу набору, їх обманом змушують завантажити зловмисне програмне забезпечення, замасковане під інструменти подання заявок на роботу.

Silent Push ідентифікувала багатьох жертв операції, особливо тих, з якими зв’язалися через Blocknovas, яка, на думку дослідників, була найактивнішою з трьох підставних компаній. Зазначена адреса фірми в Південній Кароліні виглядає пустою ділянкою, тоді як Softglide зареєстрована через податкову службу в Буффало, Нью-Йорк.

Фірма додала, що зловмисне програмне забезпечення, яке використовується в кампанії, включає принаймні три штами вірусу, які раніше були пов’язані з північнокорейськими кіберпідрозділами. Ці програми можуть викрадати дані, надавати віддалений доступ до заражених систем і служити точками входу для додаткових шпигунських програм або програм-вимагачів.

ФБР конфіскувало домен Blocknovas, повідомляє Reuters. У повідомленні, опублікованому на сайті, зазначено, що його було видалено «в рамках дій правоохоронних органів проти північнокорейських кіберакторів, які використовували цей домен, щоб обманювати людей за допомогою фальшивих оголошень про роботу та розповсюджувати шкідливе програмне забезпечення».