Северокорейские хакеры нацелены на огромную криптовалютную биржу — в безопасности ли средства пользователей?

8 августа, 2022 Дядя Влад

Северокорейские хакеры пытаются заманить экспертов по криптовалюте с помощью фиктивных предложений работы для платформы обмена криптовалютой Coinbase.

Как сообщает Bleeping Computer , была раскрыта кампания, организованная известной северокорейской хакерской группой Lazarus, и ее целью являются участники все более популярной индустрии финтех (финансовые технологии).

Изображение хакера, взломавшего систему с помощью кода. — Гетти Изображений

Очевидно, что это часть атаки с использованием социальной инженерии: группа хакеров вступает в разговор с жертвами через LinkedIn, что в конечном итоге завершается предложением работы, которое предоставляется потенциальной жертве.

Coinbase — ведущая компания по обмену криптовалют, поэтому, по номинальной стоимости, многие, кто не причастен к атаке, естественно, будут заинтересованы в том, чтобы добавить их в свои резюме. Однако, если атака увенчается успехом, последствия могут привести к конфискации и краже огромного количества криптовалютных кошельков.

Хоссейн Джази, который работает исследователем безопасности в фирме по обеспечению интернет-безопасности Malwarebytes и анализирует Lazarus с февраля 2022 года, сказал , что члены кибербанды маскируются под сотрудников Coinbase. Мошенничество привлекает потенциальных жертв, предлагая им роль «Инженерного менеджера по безопасности продукта».

Если этот человек попадется на поддельное предложение о работе, то ему в конечном итоге будут даны инструкции загрузить PDF-файл, полностью объясняющий работу. Однако сам файл на самом деле представляет собой вредоносный исполняемый файл, использующий значок PDF для обмана людей.

Сам файл называется «Coinbase_online_careers_2022_07.exe», что кажется достаточно невинным, если вы ничего не знаете. Но в то время как он открывает поддельный PDF-документ, созданный злоумышленниками, он также загружает вредоносные DLL-коды в систему цели.

Поддельное предложение о работе для Coinbase в виде PDF-файла. — Пищит Компьютер/@h2jazi

После успешного развертывания в системе вредоносное ПО будет использовать GitHub в качестве центрального командного центра для получения команд, после чего оно получит полную свободу действий для проведения атак на взломанные устройства.

Спецслужбы США ранее предупреждали о деятельности Lazarus по выпуску криптовалютных кошельков и инвестиционных приложений, зараженных троянами, что фактически позволяло им красть закрытые ключи.

И усилия группы были, мягко говоря, прибыльными — ФБР обнаружило, что в то время она украла криптовалюту на сумму более 617 миллионов долларов.

Эта конкретная атака, связанная с игрой на основе блокчейна, материализовалась из-за другого вводящего в заблуждение файла PDF, который был отправлен в качестве предложения работы одному из инженеров блокчейна. Как только файл был открыт, система человека была заражена, что впоследствии дало возможность Lazarus найти брешь в системе безопасности и широко ею воспользоваться.

В любом случае, перспектива пугающая: открытие одного PDF-файла может привести к компрометации всей сети. В случае с Coinbase, которая обрабатывает криптовалютные транзакции на миллиарды долларов, можно только представить, какими будут результаты и финансовые последствия, если Lazarus действительно удастся найти способ войти.

В настоящее время, если Coinbase обращается к вам в каком-либо качестве, было бы неплохо проявлять осторожность при открытии любых файлов.