مجموعة Lazarus تتطور تكتيكات لاستهداف الباحثين عن عمل CEFI مع البرامج الضارة “ClickFix”
كشف تقرير عن الأمن السيبراني الأخير من قبل Sekoia عن تهديد متطور تمثله مجموعة لازاروس ، مجموعة القرصنة المرتبطة بكوريا الشمالية سيئة السمعة. إنه يستفيد الآن من تكتيك يُعرف باسم “ClickFix” لاستهداف الباحثين عن عمل في قطاع العملة المشفرة ، وخاصة في التمويل المركزي (CEFI).
يمثل هذا النهج تكيفًا لحملة “المقابلة المعدية” السابقة للمجموعة ، والتي كانت تهدف سابقًا إلى المطورين والمهندسين في الذكاء الاصطناعي والأدوار المتعلقة بالتشفير.
لازاروس يستغل توظيف التشفير
في الحملة التي تمت ملاحظتها حديثًا ، حولت Lazarus تركيزها إلى المهنيين غير التقنيين ، مثل موظفي التسويق وتطوير الأعمال ، من خلال انتحال شخصية شركات التشفير الرئيسية مثل Coinbase و Kucoin و Kraken و Stablecoin Ester.
يقوم المهاجمون ببناء مواقع الويب الاحتيالية التي تحاكي بوابات طلب الوظائف وجذب المرشحين مع دعوات مقابلة مزيفة. غالبًا ما تتضمن هذه المواقع نماذج تطبيق واقعية وحتى طلبات مقدمات الفيديو ، مما يعزز الشعور بالشرعية.
ومع ذلك ، عندما يحاول المستخدم تسجيل مقطع فيديو ، يتم عرض رسالة خطأ ملفقة ، والتي تشير عادةً إلى كاميرا ويب أو عطل في برنامج التشغيل. تطالب الصفحة بعد ذلك بالمستخدم إلى تشغيل أوامر PowerShell تحت ستار استكشاف الأخطاء وإصلاحها ، مما يؤدي إلى تنزيل البرامج الضارة.
أصبحت طريقة ClickFix هذه ، على الرغم من أنها جديدة نسبيًا ، أكثر انتشارًا بسبب بساطتها النفسية – نظرًا لأن المستخدمين يعتقدون أنهم يحلون مشكلة فنية ، وعدم تنفيذ التعليمات البرمجية الضارة. وفقًا لـ Sekoia ، تعتمد الحملة على مواد من 184 دعوة مقابلة مزيفة ، مما يشير إلى ما لا يقل عن 14 شركة بارزة لتعزيز المصداقية.
على هذا النحو ، يوضح أحدث تكتيك تطور لازاروس المتزايد في الهندسة الاجتماعية وقدرته على استغلال الطموحات المهنية للأفراد في سوق عمل التشفير التنافسي. ومن المثير للاهتمام ، أن هذا التحول يشير أيضًا إلى أن المجموعة تعمل على توسيع معايير الاستهداف الخاصة بها من خلال استهدافها ليس فقط إلى أولئك الذين لديهم إمكانية الوصول إلى التعليمات البرمجية أو البنية التحتية ولكن أيضًا إلى أولئك الذين قد يتعاملون مع البيانات الداخلية الحساسة أو في وضع يسمح لهم بتسهيل الانتهاكات عن غير قصد.
على الرغم من ظهور ClickFix ، ذكرت Sekoia أن حملة المقابلة المعدية الأصلية لا تزال نشطة. يشير هذا النشر الموازي للاستراتيجيات إلى أن الجماعية التي ترعاها الدولة في كوريا الشمالية قد تختبر فعاليتها النسبية أو تكتيكات الخياطة إلى التركيبة السكانية المستهدفة المختلفة. في كلتا الحالتين ، تشترك الحملات في هدف ثابت-تقديم البرامج الضارة لسرقة المعلومات من خلال القنوات الموثوقة ومعالجة الضحايا في العدوى الذاتية.
لازاروس وراء بيبيت اختراق
عزا مكتب التحقيقات الفيدرالي (FBI) رسميًا الهجوم البالغ 1.5 مليار دولار على مجموعة لازاروس. قام المتسللون الذين يستهدفون تبادل التشفير بتقديم عروض عمل مزيفة لخداع الموظفين لتثبيت برامج التداول الملوثة المعروفة باسم “TraderTraitor”.
على الرغم من أنها مصنوعة لتبدو أصيلة من خلال تطوير JavaScript عبر المنصات ، فإن التطبيقات المضمنة المدمجة لسرقة المفاتيح الخاصة وتنفيذ المعاملات غير المشروعة على blockchain.
Binance Free $ 600 (Cryptopotato Exclusive): استخدم هذا الرابط لتسجيل حساب جديد واحصل على عرض ترحيب حصري بقيمة 600 دولار على Binance (التفاصيل الكاملة).
عرض محدود لقراء Cryptopotato في Bybit: استخدم هذا الرابط لتسجيل وفتح موقعًا مجانيًا بقيمة 500 دولار على أي عملة معدنية!
(tagstotranslate) الاختراقات
