Un recente rapporto sulla sicurezza informatica di Sekoia ha rivelato una minaccia in evoluzione rappresentata dal Lazarus Group, il famigerato gruppo di hacker legato alla Corea del Nord. Ora sta sfruttando una tattica nota come “ClickFix” per prendere di mira le persone in cerca di lavoro nel settore delle criptovalute, in particolare all’interno della finanza centralizzata (CeFi).
Questo approccio segna un adattamento della precedente campagna "Contagious Interview" del gruppo, precedentemente rivolta a sviluppatori e ingegneri con ruoli legati all'intelligenza artificiale e alle criptovalute.
Lazarus sfrutta le assunzioni di criptovalute
Nella campagna appena osservata, Lazarus ha spostato la sua attenzione su professionisti non tecnici, come personale di marketing e sviluppo aziendale, impersonando importanti aziende di criptovaluta come Coinbase, KuCoin, Kraken e persino l'emittente di stablecoin Tether.
Gli aggressori creano siti Web fraudolenti che imitano i portali di candidatura per lavoro e attirano i candidati con falsi inviti a colloqui. Questi siti spesso includono moduli di domanda realistici e persino richieste di presentazioni video, favorendo un senso di legittimità.
Tuttavia, quando un utente tenta di registrare un video, gli viene mostrato un messaggio di errore inventato, che in genere suggerisce un malfunzionamento della webcam o del driver. La pagina richiede quindi all'utente di eseguire comandi PowerShell con il pretesto di risoluzione dei problemi, attivando così il download del malware.
Questo metodo ClickFix, sebbene relativamente nuovo, sta diventando sempre più diffuso grazie alla sua semplicità psicologica, poiché gli utenti credono di risolvere un problema tecnico e non di eseguire codice dannoso. Secondo Sekoia, la campagna si basa su materiali provenienti da 184 falsi inviti a interviste, facendo riferimento ad almeno 14 importanti aziende per rafforzare la credibilità.
Pertanto, l'ultima tattica dimostra la crescente sofisticazione di Lazarus nell'ingegneria sociale e la sua capacità di sfruttare le aspirazioni professionali degli individui nel competitivo mercato del lavoro delle criptovalute. È interessante notare che questo cambiamento suggerisce anche che il gruppo sta espandendo i propri criteri di targeting puntando non solo a coloro che hanno accesso al codice o all’infrastruttura, ma anche a coloro che potrebbero gestire dati interni sensibili o essere nella posizione di facilitare inavvertitamente violazioni.
Nonostante l'emergere di ClickFix, Sekoia ha riferito che la campagna originale di Contagious Interview rimane attiva. Questo dispiegamento parallelo di strategie suggerisce che il collettivo sponsorizzato dallo stato della Corea del Nord potrebbe testare la propria efficacia relativa o adattare tattiche a diversi target demografici target. In entrambi i casi, le campagne condividono un obiettivo coerente: distribuire malware in grado di rubare informazioni attraverso canali affidabili e manipolare le vittime fino a spingerle all’autoinfezione.
Lazzaro dietro Bybit Hack
Il Federal Bureau of Investigation (FBI) ha ufficialmente attribuito l'attacco da 1,5 miliardi di dollari a Bybit al Gruppo Lazarus. Gli hacker che hanno preso di mira l'exchange di criptovalute hanno utilizzato false offerte di lavoro per indurre il personale a installare un software di trading contaminato noto come "TraderTraitor".
Sebbene realizzate per sembrare autentiche attraverso lo sviluppo multipiattaforma di JavaScript e Node.js, le applicazioni incorporavano malware progettato per rubare chiavi private ed eseguire transazioni illecite sulla blockchain.
Il post Il gruppo Lazarus evolve le tattiche per prendere di mira le persone in cerca di lavoro CeFi con il malware "ClickFix" è apparso per la prima volta su CryptoPotato .