Эксперты из группы Silent Push обнаружили сеть из трех фиктивных компаний, которые использовались хакерами из группы Contagious Interview для совершения преступных действий. Злоумышленники заманивали жертв предложениями о работе, распространяя вредоносное программное обеспечение.
Об этом сообщает Finway
Две из этих трех фирм были зарегистрированы в Соединенных Штатах. Согласно информации, хакеры, вероятно, связанные с правительством Северной Кореи, создали три подставные криптокомпании для взломов. Названия этих компаний: BlockNovas LLC, SoftGlide LLC и Angeloper Agency, при этом первые две зарегистрированы в Нью-Мексико и Нью-Йорке.
Схема деятельности и методы атак
Согласно отчету, организатором этой преступной схемы является группировка Contagious Interview, имеющая связи с Lazarus Group. Злоумышленники активно используют поддельные личности, фиктивные адреса и сгенерированные изображения для создания видимости реального бизнеса. Основной целью этой схемы являются разработчики в криптосфере, а потенциальных жертв они находят через объявления на портале GitHub и сайтах для поиска работы.
Эксперты указали на то, что хакеры используют различные виды вредоносного ПО, такие как BeaverTail, InvisibleFerret и OtterCookie. Точное количество пострадавших остается неизвестным, однако, по словам главного аналитика Зака Эдвардса, среди них есть и публичные лица.
Методы распространения вредоносного ПО
Эдвардс также раскрыл один из способов распространения вируса. Во время попытки записи видео при заполнении анкеты жертва сталкивается с ошибкой и получает предложение о «фиксе», который нужно ввести в командную строку, что приводит к краже данных.
«Федеральное бюро расследований (ФБР) заблокировало доступ к сайту BlockNovas, что подтверждается заглушкой при переходе на страницу», — сообщил эксперт.
Ранее также было отмечено, что аналитики Google Threat Intelligence Group (GTIG) обнаружили, что хакеры из КНДР нацелились на компании в Европе, выдавая себя за сотрудников IT-сегмента для получения доступа к корпоративным данным.