Недавние атаки северокорейской группе хакеров Lazarus выделились использованием новых методов, в частности, тактики ClickFix. В данной статье мы подробно рассмотрим, как эти хакеры целятся в криптовалютные компании и что это означает для сектора. Северная Корея с недавних пор стала известной благодаря своим успешно организованным операциям в киберпространстве. Группа Lazarus, получившая свою известность после ряда крупных киберпреступлений, начала использовать новые подходы для достижения своих целей. Ранее они известны были своими атаками на финансовые учреждения и криптобиржи, а теперь обратились к новым тактикам.
Тактика ClickFix, впервые упомянутая в марте 2025 года, представляет собой метод, при котором злоумышленники используют поддельные ошибки на веб-сайтах или в документах, чтобы обмануть пользователей. Эти ошибки в основном касаются невозможности доступа к контенту, и пользователям предлагается "исправить" эту проблему, выполнив определённые команды, которые запускают PowerShell на их устройствах. Это, в свою очередь, приводит к загрузке вредоносного ПО. По данным исследований компании Sekoia, группа Lazarus начала присваивать имена известных компаний, таких как Coinbase, Kraken, KuCoin, и других, чтобы выдавать свои поддельные интервью за настоящие. В это время наблюдается заметный рост кражи криптовалют у компаний этого сектора.
Например, по последним данным, злоумышленники похитили свыше 1,5 миллиарда долларов из криптобирж. Ранее уже была запущена кампания "Contagious Interview", нацеленная на соискателей вакансий в сфере искусственного интеллекта и криптовалют. Этот новый подход, ClickFix, является эволюцией предыдущих атак и нацелен на более широкий круг специалистов, включая маркетинговых менеджеров и бизнес-разработчиков, а не только на программистов. Современные атаки проводятся через платформы для профессионалов, такие как LinkedIn, где потенциальные жертвы получают приглашения на собеседования. Подобные ссылки ведут к легитимно выглядящим веб-сайтам, созданным с помощью ReactJS, где соискатели должны заполнить контактные формы и пройти через серию вопросов.
Когда жертва пытается записать видеоинтервью, на экране появляется фальшивое сообщение об ошибке, предупреждающее о проблемах с доступом к камере. В стремлении это исправить, пользователю предлагаются инструкции по устранению проблемы, которые на самом деле являются ловушкой. На данном этапе жертвы не подозревают, что их устройства подвергаются атаке. Жертвы, следуя инструкциям, вводят определенные команды в командной строке или терминале, что приводит к установке вредоносного ПО под названием GolangGhost. Это новое ПО предоставляет злоумышленникам полный доступ к зараженному устройству, включая возможность управления файлами, выполнения команд оболочки и кражи конфиденциальной информации, такой как сохраненные пароли и история браузера.
Важно отметить, что это не единственная стратегия, которую использует группа Lazarus. Исследователи отмечают, что кампания "Contagious Interview" также продолжается. Это говорит о том, что хакеры пытаются проверить эффективность обоих методов, одновременно проводя их. Для обозначения поддельных вакансий и собеседований используется 14 компаний, и данные, собранные из поддельных веб-сайтов интервью, позволили исследователям идентифицировать их. Злоумышленники остаются на шаг впереди, используя различные имитации известных компаний для того, чтобы привлечь внимание жертв.
Для защиты от таких атак важно, чтобы целевые компании оставались бдительными. Использование проверенных источников для получения информации о вакансиях и собеседованиях поможет снизить риск подхватить вредоносное ПО. Никогда не есть смысл выполнять команды, скопированные с интернет-страниц, если вы не обладаете достаточными знаниями о том, что они делают. Также стоит отметить, что Sekoia поделилась Yara-правилами, которые помогут организациям выявлять и блокировать активность ClickFake в их средах. Эти меры предосторожности критически важны, учитывая эволюцию киберугроз и адаптацию злоумышленников к новым условиям.
В заключение, атакующие, такие как группа Lazarus, демонстрируют, что киберугрозы продолжают развиваться и адаптироваться к новым реалиям нашего времени. Поэтому, оставаясь на шаг впереди, можно значительно снизить риски и защитить свои данные от потенциальных угроз. Понимание методов и тактик, используемых злоумышленниками, поможет организациям принимать более эффективные меры по защите от киберугроз.
