Na Slovensku udreli hackeri zo Severnej Kórei, varuje ESET: Na túto skupinu ľudí útočia najčastejšie!
Bezpečnostní experti pozorovali hackerskú kampaň zo Severnej Kórei, ktorá udrela aj na Slovensku. Táto skupina užívateľov je ohrozená!
Bezpečnostní experti z ESETu informujú o hackerskej skupine s väzbami na Severnú Kóreu, ktorá útočí na užívateľov po celom svete. Hackeri využívajú pri svojich útokoch dve formy malvéru, infostrealer a Remote Access Trojan. Útoky zaznamenali kyberbezpečnostné zložky aj na Slovensku.
Útok sa začína kontaktovaním obete. Hackeri sa vydávajú za recruiterov a vývojárov softvéru. Užívateľov lákajú na falošné pracovné ponuky. Ak obeť útoku prejaví záujem, hackeri následne ponúkajú softvérové projekty, ktoré si obeť musí stiahnuť do počítača. Určite už tušíš, že sa v týchto “softvérových projektoch” ukrýva škodlivý kód.
Ako sme už spomenuli na začiatku, hackeri útočia dvoma typmi malvéru. Prvým je infostrealer BeaverTail. Ten slúži na krádež dát a ich posielanie na C2 servery hackerskej skupiny. Celú kampaň označili experti z ESETu ako DeceptiveDevelopment a podarilo sa im nájsť väzby na Severnú Kóreu.
Pozor na prehnane výhodné ponuky
Najohrozenejšou skupinou užívateľov sú takzvaní freelanceri, teda ľudia na voľnej nohe, ktorí ponúkajú svoje schopnosti alebo hľadajú zamestnania na rôznych pracovných fórach. Hackeri si pomocou spearphishingu vyberú svoje obete a snažia sa ich nalákať naozaj dobre znejúcou pracovnou ponukou. V tomto prípade ponuka hackerov možno znie “až príliš dobre” a ľudia, ktorí sa nestretávajú s veľkým množstvom online podvodov, môžu na túto ponuku naletieť oveľa jednoduchšie.
Infostealer BeaverTail kradne dáta kryptopeňaženiek, či uložené heslá v prehliadačoch alebo správcoch hesiel.
Neprehliadni
“V rámci falošného pracovného pohovoru požiadajú útočníci svoje obete, aby absolvovali test kódovania, napríklad pridanie funkcie do existujúceho projektu, pričom súbory potrebné na splnenie úlohy sú zvyčajne umiestnené na súkromných úložiskách na platforme GitHub alebo iných podobných platformách. Nanešťastie pre nádejného kandidáta sú tieto súbory trojanizované. Po stiahnutí a spustení projektu sa počítač obete kompromituje,” vysvetľujevýskumník spoločnosti ESET Matěj Havránek, ktorý objavil a analyzoval kampaň DeceptiveDevelopment.
Hackerská kampaň DeceptiveDevelopment sa vyznačuje taktikami a postupmi, ktoré sú podobné niekoľkým ďalším severokórejským kyberzločineckým aktérom. Hackeri útočia na operačné systémy Windows, Linux a MacOS. Ako sme spomenuli, zameriavajú sa primárne na krádež kryptomien, no bezpečnostní analytici nevylučujú, že ich sekundárnym cieľom môže byť aj kybernetická špionáž.
Prvý kontakt s kyberzločincami môžu vybrané obete zaznamenať na sociálnych sieťach. Geografická poloha pritom nehrá úlohu. Hackeri sa nepokúšajú operovať v jednej krajine, namiesto toho chcú kompromitovať čo najviac obetí, aby zvýšili pravdepodobnosť úspešného ukradnutia peňazí alebo informácií.
Hackeri infikujú zariadenia aj trójskym koňom
Hovorili sme už o malvéri BeaverTail, no hackeri využívajú aj InvisibleFerret, čo je taktiež infostealer, no zároveň slúži ako Remote Access Trojan. Práve tento škodlivý softvér obsahuje trójskeho koňa typu RAT, ktorý implementuje do zariadení zadné vrátka a dovoľuje kyberzločincom nainštalovať do infikovaného zariadenia na diaľku ďalší malvér.
“Aby útočníci pôsobili ako dôveryhodní náboroví pracovníci, kopírujú profily existujúcich ľudí, prípadne vytvárajú úplne nové profily. Potom buď priamo oslovujú svoje potenciálne obete na stránkach pre freelancerov či na hľadanie práce, alebo tam zverejňujú falošné pracovné ponuky. Zatiaľ čo niektoré z týchto profilov vytvorili samotní útočníci, iné sú potenciálne kompromitované profily skutočných ľudí,” píšu experti z ESETu.
Bezpečnostní experti dodávajú, že severokórejská kampaň DeceptiveDevelopment predstavuje nový prírastok do širokej zbierky schém na zarábanie peňazí. Za touto kampaňou stoja pravdepodobne aktéri napojení na Severnú Kóreu. Kampaň zodpovedá pokračujúcemu trendu, v rámci ktorého sa hackeri odpútavajú od kradnutia tradičných peňazí a namiesto toho sa začínajú viac venovať kryptomenám.
Neznamená to však, že tradičné bankové podvody utíchajú. Aktívnych je momentálne viac kampaní, o jednej napríklad informujeme v našom článku.
Komentáre