Северокорейская хакерская группировка Lazarus Group активизировала атаки на соискателей работы в криптовалютном секторе, используя тактику ClickFix. Исследователи из французской компании Sekoia обнаружили новую кампанию под названием ClickFake Interview, направленную на установку бэкдора GolangGhost на системы Windows и macOS.
Злоумышленники маскируются под крупные централизованные финансовые компании, такие как Coinbase, Kraken, Tether и Bybit, чтобы обманом заставить жертв загрузить вредоносное ПО. Соискателей привлекают через платформы LinkedIn и X, предлагая пройти видеособеседование, для которого якобы необходимо установить специальное программное обеспечение. В ходе установки активируется вредоносный код, который крадет конфиденциальные данные и криптовалюту.
Исследователи отметили, что этот метод является развитием предыдущих схем Lazarus Group, таких как Operation Dream Job, но теперь ориентирован не на разработчиков, а на специалистов в области финансов и управления активами. Тактика ClickFix основана на манипуляции пользователями, которым демонстрируется ложное сообщение об ошибке, требующее загрузки дополнительного программного обеспечения для активации веб-камеры или микрофона.
Эксперты из Google Threat Intelligence Group (GTIG) также сообщили о расширении активности северокорейских хакеров в Европе. Ложные личности создаются с помощью GitHub и платформ для фриланса, таких как Upwork и Telegram. Отмечается рост случаев шантажа со стороны этих фальшивых ИТ-специалистов, а также попыток внедрения в компании, использующие политику "принеси свое устройство" (BYOD).
Киберэксперты призывают компании быть более бдительными, так как Lazarus Group продолжает совершенствовать свои методы, используя социальную инженерию и новые технологии для атак на финансовые организации и частных лиц.
Северокорейская хакерская группа Lazarus организовала атаку на пользователей Solana и Exodus
