Grupa Lazarus wzięła na celownik administratorów firm kryptowalutowych. Wysyła im fikcyjne oferty pracy, dostosowane do ich profili na portalu LinkedIn.
Północnokoreańscy hakerzy są doskonale znani w środowisku cybersecurity. Od kilku lat mają na swoim celowniku serwisy zajmujące się bankowością oraz od niedawna kryptowalutami, a prowadzona przez nich kampania phishingowa zasięgiem objęła już cały świat. Głównym celem ich działalności są oczywiście pieniądze.
F-Secure w swoim raporcie mówi o tym, że cyberprzestępcy w jednej ze swoich kampanii wykorzystali portal LinkedIn. Wyszukiwali profile administratorów pewnej firmy kryptowalutowej i wysyłali im fikcyjne oferty pracy. Aby dodać wiarygodności swojemu oszustwu, hakerzy mieli dostosowywać ofertę do umiejętności podanych przez ofiarę na jej profilu. Zależało im na uzyskaniu danych dostępowych do portfeli kryptowalutowych i kont bankowych.
Uwaga na załączniki na LinkedIn
Na czym polegał atak? Wraz z wiadomością w serwisie atakujący wysyłali załącznik w formie pliku .doc ze szczegółowymi danymi odnośnie oferty. Po otwarciu go oczom ofiary ukazywał się komunikat, że treść jest chroniona przez GDPR (General Data Protection Regulation), i aby ją otworzyć, należy uruchomić makro. Jak nietrudno się domyślić, makro to rozpoczynało proces instalowania złośliwego oprogramowania.
Najpierw uruchamia się plik wykonywalny, następnie kilkukrotnie łączy się z serwerami, ściągając skrypty napisane w VBScript i Powershellu. Koniec końców na komputerze ofiary zainstalowanych zostaje kilka szkodliwych programów, służących m.in. do pobierania następnych plików, łączenia się z serwerem, wykonywania określonych komend czy wykradania danych logowania z różnych źródeł.
Jak wykryć, że padło się ofiarą phishingu?
Badacze twierdzą jednak, że atak ten nie jest specjalnie trudny do wykrycia. Co prawda jedną z pierwszych czynności, jaką wykonuje oprogramowanie po instalacji jest wyłączenie Windows Defendera, ale nie zmienia to faktu, że malware wykorzystuje m.in. komendy wiersza poleceń i inne typowo systemowe narzędzia. Według F-Secure dzieło hakerów próbuje uniknąć wykrycia i chce się „wmieszać” w pozostałe procesy, ale jednocześnie wykonuje ruchy, które prawie na pewno zostaną uznane za podejrzane np. przez EDR (Endpoint Detection and Response), które specjalizuje się właśnie w wykrywaniu podejrzanych działań.
F-Secure twierdzi, że ataki tego typu najpewniej będą kontynuowane. Firma podkreśla jednak, że narzędzia północnokoreańskiej grupy są wykrywalne i korporacje zajmujące się kryptowalutami powinny przykładać większą wagę do bezpieczeństwa. Badacze informują, że firma, która była celem ataku, korzystała zarówno z EDR, jak i innych narzędzi sieciowych, które wykryły działalność malware, ale nic z tym nie zrobiono.