Ein nordkoreanischer Bedrohungsakteur mit dem Namen „DeceptiveDevelopment“ nutzt verschiedene Social-Engineering-Techniken, um Arbeitssuchende anzusprechen, so die Forscher von ESET. Die Gruppe verwendet die bei dieser Operation gestohlenen Daten, um Nordkoreas betrügerische IT-Arbeiter zu unterstützen.
„Die Betreiber von DeceptiveDevelopment verwenden verschiedene Methoden, um ihre Opfer zu kompromittieren, und setzen dabei auf clevere Social-Engineering-Tricks“, schreiben die Forscher. „Über gefälschte und gekaperte Profile geben sie sich auf Plattformen wie LinkedIn, Upwork, Freelancer und Crypto Jobs List als Personalvermittler aus. Sie bieten gefälschte lukrative Jobangebote an, um das Interesse ihrer Zielpersonen zu wecken. Die Opfer werden aufgefordert, an einem Programmierwettbewerb oder einer Aufgabe vor dem Vorstellungsgespräch teilzunehmen.
„Die Aufgabe besteht darin, ein Projekt von privaten GitHub-, GitLab- oder Bitbucket-Repositories herunterzuladen. Diese Repositories enthalten trojanisierten Code, der oft geschickt in langen Kommentaren versteckt ist, die weit über den rechten Rand eines Codebrowsers oder Editorfensters hinaus angezeigt werden. Die Teilnahme an der Aufgabe löst die Ausführung von BeaverTail, der ersten Stufe der Malware, aus.
Die Bedrohungsakteure verwenden auch die ClickFix-Sozial-Engineering-Taktik, bei der der Benutzer dazu verleitet wird, einen bösartigen Befehl zu kopieren und in das Terminal seines Computers einzufügen.
„Die Angreifer leiten das Opfer auf eine gefälschte Website für ein Vorstellungsgespräch, die ein Bewerbungsformular enthält, das sie ausfüllen sollen“, erklärt ESET. „Das Bewerbungsformular enthält einige langwierige Fragen zur Identität und zu den Qualifikationen des Bewerbers, was das Opfer dazu veranlasst, viel Zeit und Mühe in das Ausfüllen des Formulars zu investieren und ihm das Gefühl zu geben, dass es fast fertig ist und daher eher in die Falle tappt.
„Im letzten Schritt der Anwendung wird das Opfer aufgefordert, ein Video aufzunehmen, in dem es die letzte Frage beantwortet. Auf der Website erscheint ein Pop-up-Fenster, in dem das Opfer aufgefordert wird, den Zugriff auf die Kamera zuzulassen, aber es wird nie auf die Kamera zugegriffen. Stattdessen erscheint eine Fehlermeldung, die besagt, dass der Zugriff auf die Kamera oder das Mikrofon derzeit blockiert ist, und die einen Link zur Behebung des Problems enthält. Dieser Link führt zu einem Popup-Fenster, in dem die ClickFix-Social-Engineering-Technik zum Einsatz kommt.
KI-unterstütztes Sicherheitstraining befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen und das menschliche Risiko zu verringern.
ESET hat die story.