В последние годы мир столкнулся с новой волной кибератак, исходящих из Северной Кореи. Особое внимание привлекает кампания, получившая название Contagious Interview, в которой злоумышленники создают фальшивые криптовалютные компании, чтобы распространять вредоносное программное обеспечение под видом приглашений на собеседования или заданий по программированию. Эта стратегия угрожает IT-специалистам и криптоэнтузиастам по всему миру, вызывая серьезные опасения в сфере кибербезопасности. Суть метода заключается в создании нескольких подконтрольных мошенникам фирм, позиционируемых как консультационные компании в области криптовалют. В числе таких фирм названы BlockNovas LLC, Angeloper Agency и SoftGlide LLC.
Эти компании публикуют вакансии и проводят собеседования, на которых мишенями становятся специалисты из разных стран, нередко из Украины и других постсоветских государств. Для реализации атак используются сложные сценарии социальной инженерии. Потенциальные жертвы получают приглашения на собеседования с поддельных аккаунтов в популярных социальных сетях и профессиональных платформах, таких как LinkedIn, GitHub, Facebook и других. Чтобы создать правдоподобные профили, хакеры применяют технологии искусственного интеллекта, включая генерацию аватарок и текстов, что значительно облегчает формирование доверия у цели. В процессе собеседования или выполнения тестового задания жертвам предлагается скачать программные инструменты, якобы необходимые для проверки кода или исправления технических проблем, например, при включении камеры во время видеооценки.
На самом деле такие файлы содержат вредоносное ПО, которое в дальнейшем внедряется на компьютеры пользователей. Установлен факт распространения трех основных семейств вредоносных программ: BeaverTail, InvisibleFerret и OtterCookie. BeaverTail – это JavaScript-модуль, работающий как стелс-стилер и загрузчик. Его задача – собрать системную информацию, украсть данные из браузеров, файлов и внедрить дальнейшее вредоносное ПО. InvisibleFerret действует как бэкдор на Python и способен сохранять устойчивое присутствие на операционных системах Windows, Linux и macOS, что позволяет злоумышленникам получать удаленный доступ и контролировать заражённые системы.
OtterCookie нередко распространяется через тот же JavaScript-инструментарий и расширяет функционал вредоносного ПО. Подобные кампании обрели дополнительные уровни сложности. К примеру, BlockNovas была замечена в использований видеооценок для распространения другого зловредного программного обеспечения — FROSTYFERRET и GolangGhost, внедряемого посредством приманок, связанных с фиксацией проблем (ClickFix). Это показывает высокий уровень адаптации и изобретательности злоумышленников. В инфраструктуре, созданной для поддержки этих операций, обнаруживаются поддомены и панели управления, предназначенные для мониторинга активности четырех основных доменов и поддержания связей с командными серверами управления.
Один из таких доменов даже хостит систему управления распределенным перебором паролей, Hashtopolis, что указывает на широкие технические возможности хакеров. Известен случай кражи доступа к MetaMask-кошельку – популярному криптохранилищу, используемому среди разработчиков, что подтверждает прямую угрозу финансовой безопасности пользователей. Интересным элементом является наличие инструмента под названием Kryptoneer, размещенного на домене attisscmo.com. Он позволяет подключаться к различным криптокошелькам, таким как Suiet Wallet, Ethos Wallet и Sui Wallet.
Это может свидетельствовать о попытках злоумышленников проникнуть в экосистему блокчейна Sui или использовать данный сервис как часть обманной истории в процессе трудоустройства. Важно отметить, что деятельность хакеров поддерживается не только использованием технологических средств, таких как VPN, прокси-серверы и анонимизирующие услуги, но и применением искусственного интеллекта для автоматизации и оптимизации процесса создания фальшивых профилей и общения с потенциальными жертвами. Такие инструменты помогают им управлять расписаниями собеседований, создавать правдоподобные диалоги и сохранять единообразие в коммуникациях с несколькими кандидатами одновременно. Обнаружены IP-адреса в России, которые используются для маскировки активности через большие анонимизирующие сети. Эти адреса связаны с регионами Кхасан и Хабаровск, расположенными близко к границе с Северной Кореей и известными экономическими связями с этой страной.
Такая географическая близость позволяет предполагать координацию между российскими и северокорейскими инфраструктурами кибератак. Кроме распространения вредоносного ПО, группа также практикует создание поддельных резюме и найм IT-специалистов под ложными именами для удаленной работы в крупных компаниях. Этот метод ложного трудоустройства, известный как Wagemole, используется для незаконного перевода части заработной платы в Северную Корею, что свидетельствует о двойной экономической и разведывательной выгоде такого подхода. Подобные операции свидетельствуют о том, что Северная Корея активно использует современные технологии, включая искусственный интеллект, чтобы максимально повысить эффективность своих кибершпионских и финансово-ориентированных кампаний. В ответ правительственные структуры, в частности ФБР, предпринимают усилия по блокировке и конфискации активов, связанных с такими злоумышленниками, как в случае с доменом BlockNovas.
