Словацкая компания ESET сообщает о новой масштабной кампании, связанной с северокорейской группировкой DeceptiveDevelopment (также известной как DEV#POPPER). Злоумышленники используют ранее неизвестный бэкдор AkdoorTea, ориентированный на кражу криптовалют и корпоративных данных.
Главная уловка атакующих — фальшивый рекрутинг. «Работодатели» размещают вакансии на LinkedIn, Upwork, Freelancer и площадках для крипторазработчиков. Кандидатов либо приглашают пройти «видеооценку», либо дают тестовое задание. В первом случае сайты имитируют ошибки камеры/микрофона и предлагают выполнить команды в терминале (ClickFix). Во втором — GitHub-репозитории содержат скрытое вредоносное ПО.
В арсенале кампании — сразу несколько вредоносов. BeaverTail, InvisibleFerret и WeaselStore крадут данные из браузеров и криптокошельков. WeaselStore также работает как RAT, поддерживая постоянную связь с C2-серверами. Используются и более сложные комплексы: TsunamiKit (цепочка загрузчиков и инсталляторов, обход Microsoft Defender) и Tropidoor, имеющий пересечения с кодом инструментов Lazarus.
Новый элемент — AkdoorTea. Он распространяется через пакетный скрипт для Windows, загружающий архив nvidiaRelease.zip с вредоносным Visual Basic-скриптом. Тот разворачивает AkdoorTea и BeaverTail, открывая злоумышленникам длительный доступ к системам жертв.
По данным ESET, атаки затрагивают пользователей Windows, Linux и macOS, но основной интерес злоумышленников — разработчики криптовалютных и Web3-проектов. Кампания отличается устойчивостью: комбинация социальной инженерии и мультимодульных троянов позволяет хакерам эффективно обходить защиту.
Рекомендации: не выполнять команды из сомнительных источников, не запускать неподписанные скрипты и бинарные файлы, внимательно проверять вакансии и репозитории, использовать аппаратные криптокошельки и изолированные среды разработки.
Французский регулятор оштрафовал Google и Shein за нарушения при использовании cookie
