Lazarus Group, ‘ClickFix’ kötü amaçlı yazılımları olan CEFI iş arayanları hedeflemek için taktikleri geliştirir
Sekoia’nın yakın tarihli bir siber güvenlik raporu, kötü şöhretli Kuzey Kore bağlantılı hackleme grubu Lazarus Grubu tarafından ortaya çıkan gelişen bir tehdit ortaya koydu. Şimdi kripto para birimi sektöründeki iş arayanları, özellikle merkezi finans (CEFI) içinde hedeflemek için “ClickFix” olarak bilinen bir taktikten yararlanıyor.
Bu yaklaşım, daha önce yapay zeka ve kripto ile ilgili rollerdeki geliştiricilere ve mühendislere yönelik olan grubun daha önceki “bulaşıcı röportaj” kampanyasının bir uyarlamasını işaret ediyor.
Lazarus Kripto İşe Alımını Söküm
Yeni gözlemlenen kampanyaLazarus, Coinbase, Kucoin, Kraken ve hatta StableCoin ihraççı Tether gibi büyük kripto firmalarını taklit ederek odaklanmayı pazarlama ve iş geliştirme personeli gibi teknik olmayan profesyonellere kaydırdı.
Saldırganlar, iş başvurusu portallarını taklit eden hileli web siteleri inşa ediyor ve adayları sahte röportaj davetiyeleriyle canlandırıyor. Bu siteler genellikle gerçekçi uygulama formları ve hatta bir meşruiyet duygusu geliştirerek video tanıtımları için talepleri içerir.
Ancak, bir kullanıcı bir video kaydetmeye çalıştığında, genellikle bir web kamerası veya sürücü arızası öneren fabrikasyon bir hata mesajı gösterilir. Sayfa daha sonra kullanıcıyı sorun giderme kisvesi altında PowerShell komutlarını çalıştırmasını ister, böylece kötü amaçlı yazılım indirmesini tetikler.
Bu ClickFix yöntemi, nispeten yeni olsa da, psikolojik sadeliği nedeniyle daha yaygın hale geliyor – çünkü kullanıcılar teknik bir sorunu çözdüklerine ve kötü amaçlı kod yürütmediklerine inanıyorlar. Sekoia’ya göre, kampanya, en az 14 önde gelen şirkete güvenilirliği artırmaya atıfta bulunarak 184 sahte röportaj davetinden elde edilen materyallerden yararlanıyor.
Bu nedenle, en son taktik Lazarus’un sosyal mühendislikte artan sofistike olduğunu ve rekabetçi kripto iş piyasasındaki bireylerin profesyonel isteklerinden yararlanma yeteneğini göstermektedir. İlginç bir şekilde, bu değişim aynı zamanda grubun sadece kod veya altyapıya erişimi olanlara değil, aynı zamanda hassas iç verileri işleyebilecek veya ihlalleri yanlışlıkla kolaylaştıracak bir konumda olmaya yönelik hedefleme kriterlerini genişlettiğini göstermektedir.
ClickFix’in ortaya çıkmasına rağmen Sekoia, orijinal bulaşıcı röportaj kampanyasının aktif olduğunu bildirdi. Stratejilerin bu paralel olarak konuşlandırılması, Kuzey Kore’nin devlet destekli kolektifinin göreceli etkinliklerini veya taktikleri farklı hedef demografik özelliklere göre uyarlayabileceğini düşündürmektedir. Her iki durumda da, kampanyalar tutarlı bir hedef paylaşıyor-güvenilir kanallar aracılığıyla bilgi yönlendiren kötü amaçlı yazılım sunmak ve kurbanları kendi kendine enfeksiyona dönüştürüyor.
Lazarus Bybit Hack’in arkasında
Federal Soruşturma Bürosu (FBI) resmen Bybit’e 1,5 milyar dolarlık saldırıyı Lazarus Grubuna bağladı. Kripto Borsası’nı hedefleyen bilgisayar korsanları, personelin “TraderTraitor” olarak bilinen lekeli ticaret yazılımı yüklemesine kandırmak için sahte iş teklifleri kullandı.
Platformlar arası JavaScript ve Node.js geliştirme yoluyla otantik görünmek için hazırlanmış olsa da, özel anahtarları çalmak ve blockchain’de yasadışı işlemleri yürütmek için tasarlanmış uygulamalar gömülü kötü amaçlı yazılımlar.
Binance Free 600 $ (Cryptopotato Exclusive): Yeni bir hesap kaydetmek ve Binance’da 600 $ ‘lık özel karşılama teklifi almak için bu bağlantıyı kullanın (tüm detaylar).
Bybit’teki Cryptopotato okuyucuları için sınırlı teklif: Herhangi bir madeni para üzerinde 500 $ ‘lık ücretsiz bir pozisyon kaydetmek ve açmak için bu bağlantıyı kullanın!
