北韓:假Web3工作招聘者更新加密貨幣竊取惡意軟體,從9個到13個不同錢包
駭客
北韓
安全
這種新型的惡意軟體變異體同時針對Windows和macOS作業系統,現已能夠從13個不同的錢包中竊取加密貨幣。
最後更新時間:
2024年10月9日09:58
記者
Sead Fadilpašić
記者
Sead Fadilpašić
關於作者
Sead專門撰寫真實和信息豐富的文章,以幫助公眾在不斷變化的加密世界中適應。他在區塊鏈行業擁有豐富的經驗,在那裡他曾擔任…
作者簡介
分享
已複製
最後更新時間:
2024年10月9日09:58
為何信任Cryptonews
Cryptonews在加密報導方面擁有十多年的經驗,提供可靠的權威見解。我們的資深記者和分析師團隊結合深入的市場知識和對區塊鏈技術的實際測試。我們堅持嚴格的編輯標準,確保事實準確和公正報導,涵蓋已建立的加密貨幣和新興項目。我們在行業中長期存在並致力於高質量新聞報導,使Cryptonews成為動態數字資產領域的可信消息來源。
了解更多關於Cryptonews的資訊
與北韓有關的假Web3工作招聘者瞄準線上求職者,騙取他們下載偽裝成視訊通話應用程式的惡意軟體,從而竊取他們的加密貨幣。
根據主要網絡安全公司Palo Alto旗下的網絡風險團隊Unit 42的最新報告指出,這種新型的惡意軟體變異體同時針對Windows和macOS作業系統。值得注意的是,它現在能夠從包括MetaMask、BNB Chain、Exodus、Phantom、TronLink、Crypto.com等在內的13個不同錢包中竊取加密貨幣。
研究人員認為,這些是可能有經濟動機的北韓威脅行動者,他們致力於支持朝鮮民主主義人民共和國(DPRK)政權。
它是如何運作的?
攻擊者瞄準科技行業的求職者設備。
他們通過求職平台聯繫軟體開發人員,邀請他們進行線上面試。
然後攻擊者將努力說服開發人員下載並安裝偽裝為視訊通話應用程式的惡意軟體。
一旦受害人執行了惡意代碼,它就會在後台開始收集數據和數字資金。
讓我們來看看其中的一些例子。
在2024年6月,一篇Medium文章警告說在GitHub和LinkedIn Premium上存在假招聘者。具體而言,作者Heiner在LinkedIn上提到了一個名為“Onder Kayabasi”的帳戶。
目前LinkedIn帳戶已經無法訪問,但在撰寫本文時,仍然可以使用一個類似的Twitter帳戶。
來源:Onder Kayabasi, Twitter
這些社交工程和詐騙活動“旨在感染、竊取信息和加密貨幣,特別是針對加密貨幣、區塊鏈、網絡安全和線上賭博領域的開發者帳戶”,Heiner寫道。
全棧軟體工程師Richard Chang已經報告了這個假招聘者帳戶。他有意在虛擬環境中運行了這段代碼,“因為你絕對不應該從一個可疑的對象那裡運行你不理解的隨機代碼。”
Kayabasi“不高興了”,Chang寫道。
儘管的確“邪惡”,但這段代碼“出奇的複雜”,他補充道。
來源:Richard Chang, LinkedIn
Unit 42已經追踪這些行動者的活動一段時間了,並於2023年11月首次報導了這個名為“Contagious Interview campaign”的活動。
然而,這些活動從那時以來一直在繼續,並有了新的版本。
具體來說,研究人員指出兩個惡意軟體的代碼更新:BeaverTail下載器和InvisibleFerret後門程式。
BeaverTail是一種下載器和信息竊取器,它在背景中執行惡意代碼,沒有任何可見的指示。
BeaverTail的新版本早在2024年7月就已經引入。
攻擊者使用了一個名為Qt的跨平台框架,該框架允許開發人員為Windows和macOS同時編譯應用程式。
報告解釋說,這意味著攻擊者可以使用相同的源代碼為Windows和macOS編譯應用程式。
BeaverTail這個新版本的其他功能包括在macOS中竊取瀏覽器密碼,以及在macOS和Windows中竊取加密貨幣錢包。
報告稱:“這個最後的功能與北韓威脅行動者的持續的經濟利益一致。”
來源:Unit 42
值得注意的是,這個新版本的Qt版本針對13個不同的加密貨幣錢包瀏覽器擴展進行攻擊,而之前只有9個錢包。
研究人員表示:“在目前的13個擴展中,作者新增了5個新的錢包,刪除了一個。”
這些錢包包括MetaMask、BNB Chain、Exodus、Phantom、TronLink、Crypto.com、Coin98、Kaikas、Rabby和Argent X – Starknet。
來源:Unit 42
在此步驟之後,攻擊者將嘗試執行InvisibleFerret後門程式。它的組件包括指紋識別、遠程控制、信息竊取和瀏覽器竊取程式。
這一舉措使攻擊者能夠控制設備並竊取敏感數據。
MalwareHunterTeam
報告還指出,另一個重大風險是那些雇用被針對的求職者的公司可能會遭到滲透。
他們強調:“在公司擁有的終端設備上成功感染可能導致敏感信息的收集和竊取。”
Unit 42建議個人和組織對這些高級社交工程活動保持警惕。
因此,在報告中,Unit 42提供了保護和緩解措施。
在Google新聞上關注我們。