Pohjois-Korean hakkerit yrittävät houkutella sisään kryptovaluutta asiantuntijoita väärien työtarjousten kautta salausvaihtoalustalle Coinbase.
Kuten raportoi Bleeping Computer, tunnetun pohjoiskorealaisen Lazarus-hakkerointiryhmän järjestämä kampanja on paljastunut, ja sen kohteena ovat yhä suositumpaa fintech (financial technology) -alalla toimivat.
Siinä, mikä on selvästi osa sosiaalisen suunnittelun hyökkäystä, hakkerointiryhmä osallistuu keskusteluun kohteiden kanssa LinkedInin kautta, mikä huipentuu lopulta mahdolliselle uhrille esitettävään työtarjoukseen.
Liittyvät
- Hakkerit käyttävät väärennettyjä WordPress DDoS -sivuja haittaohjelmien käynnistämiseen
- Hakkerit hyödyntävät nyt uusia haavoittuvuuksia vain 15 minuutissa
- Hakkerit kohdistavat AMD: n varastamiseen valtavat 450 Gt huippusalaista dataa
Coinbase on johtava kryptovaluutanvaihtoyritys, joten nimellisarvoltaan monet, jotka eivät ole tietoisia hyökkäyksestä, ovat luonnollisesti kiinnostuneita lisäämään ne ansioluetteloonsa. Jos hyökkäys kuitenkin onnistuisi, seuraukset voisivat johtaa lukemattomien määrien kryptolompakoiden takavarikointiin ja varasteluun.
Suositellut videot
Hossein Jazi, joka työskentelee tietoturvatutkijana Internet-tietoturvayrityksessä Malwarebytes ja on analysoinut Lazarusta helmikuusta 2022 lähtien, sanoi Kybergangin henkilöt naamioituvat Coinbasen työntekijöiksi. Huijaus houkuttelee potentiaalisia uhreja lähestymällä heitä "Tuoteturvallisuuden suunnittelupäällikkönä".
Jos kyseinen henkilö näkee väärennetyn työtarjouksen, hänelle annetaan lopulta ohjeet ladata PDF-tiedosto, joka selittää työn kokonaisuudessaan. Itse tiedosto on kuitenkin itse asiassa haitallinen suoritettava tiedosto, joka käyttää PDF-kuvaketta ihmisten huijaamiseen.
Itse tiedosto on nimeltään "Coinbase_online_careers_2022_07.exe", joka vaikuttaa tarpeeksi viattomalta, jos et tiennyt paremmasta. Mutta vaikka se avaa uhkatekijöiden luoman väärennetyn PDF-dokumentin, se lataa myös haitallisia DLL-koodeja kohteen järjestelmään.
Kun haittaohjelma on onnistuneesti otettu käyttöön järjestelmään, se käyttää GitHubia keskuskomentona keskus vastaanottaa komentoja, minkä jälkeen sillä on vapaat kädet hyökätä laitteisiin, jotka ovat olleet rikottu.
Yhdysvaltain tiedustelupalvelut ovat aiemmin varoittaneet Lazaruksen toiminnasta julkaisuissa kryptovaluuttalompakot ja sijoitussovellukset, jotka ovat saastuttaneet troijalaisia, mikä mahdollistaa niiden varastamisen yksityiset avaimet.
Ja ryhmän ponnistelut ovat olleet vähintäänkin tuottoisia - FBI havaitsi, että se oli varastanut kryptovaluuttaa yli 617 miljoonan dollarin arvosta tuolloin.
Tämä lohkoketjupohjaiseen peliin liittyvä hyökkäys toteutui toisen petollisen PDF-tiedoston takia, joka lähetettiin työtarjouksena yhdelle lohkoketjun insinööreistä. Kun tiedosto avattiin, henkilön järjestelmä sai tartunnan, mikä avasi tien Lazarukselle paikantaa tietoturvavirhe ja hyödyntää sitä suurella tavalla.
Joka tapauksessa mahdollisuus on pelottava: yhden PDF-tiedoston avaaminen johtaa koko verkon vaarantumiseen. Coinbasen tapauksessa, joka käsittelee miljardeja dollareita kryptotapahtumia, voi vain kuvittele, mitä seurauksia ja taloudellisia seurauksia olisi, jos Lasarus todella onnistuu löytämään a tie sisään.
Toistaiseksi, jos Coinbase ottaa sinuun yhteyttä missä tahansa ominaisuudessa, saattaa olla hyvä idea olla varovainen avaamasta tiedostoja.
Toimittajien suositukset
- Hakkerit varastivat LastPass-tiedot, mutta salasanasi ovat turvassa
- Pohjoiskorealaiset hakkerit ovat kohdistaneet kohteen kryptotyöntekijöihin
- Et koskaan arvaa, mihin hakkerit käyttävät Microsoft Calculatoria
- Hakkerit kohdistuvat suureen lentoyhtiöön lähes 10 miljoonaan asiakkaaseen kohdistuvaan tietomurtoon
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
