HackerNews 编译,转载请注明出处:
拉撒路集团被发现开展了一项积极活动,该活动利用加密货币和旅游行业的虚假领英工作机会提供恶意软件,该软件能够感染Windows、macOS和Linux操作系统。
据网络安全公司Bitdefender称,该骗局始于在专业社交媒体网络上发送的一条消息,以远程工作、兼职灵活性和高薪为诱饵。
罗马尼亚这家公司在与The Hacker News分享的一份报告中称:“一旦目标对象表现出兴趣,‘招聘流程’随即展开,骗子会要求提供简历,甚至要求提供个人GitHub仓库链接。”
“尽管这些要求看似无害,但可能暗藏祸心,比如收集个人数据,或为互动披上合法的外衣。”
在获取所需信息后,攻击进入下一阶段。此时,攻击者伪装成招聘人员,分享一个GitHub或Bitbucket仓库链接,内含一个所谓的去中心化交易所(DEX)项目的最小可行性产品(MVP)版本,并指示受害者查看并给出反馈。
代码中包含一个模糊脚本,该脚本被配置为从api.npoint[.]io获取下一阶段的有效载荷,这是一个跨平台JavaScript信息窃取软件,能够从受害者浏览器上安装的各种加密货币钱包扩展中收集数据。
该窃取软件还充当加载程序,用于获取一个基于Python的后门程序,该程序负责监控剪贴板内容变化、保持持久远程访问,并投放其他恶意软件。
值得注意的是,Bitdefender记录的手法与已知攻击活动集群“传染性面试”(又称DeceptiveDevelopment和DEV#POPPER)存在重叠,该集群旨在投放名为BeaverTail的JavaScript窃取软件和名为InvisibleFerret的Python植入程序。
通过Python恶意软件部署的恶意软件是一个.NET二进制文件,可以下载并启动TOR代理服务器以与命令和控制(C2)服务器通信、渗出基本系统信息,并投放另一个有效载荷,进而窃取敏感数据、记录键盘输入和启动加密货币挖矿程序。
Bitdefender表示:“攻击者的感染链十分复杂,包含用多种编程语言编写的恶意软件,并使用多种技术,如递归解码并执行自身的多层Python脚本、首先收集浏览器数据再转向其他有效载荷的JavaScript窃取软件,以及能够禁用安全工具、配置Tor代理和启动加密货币挖矿程序的.NET级联加载程序。”
领英和Reddit上的报告显示,这些攻击活动相当普遍,且整体攻击链仅有小幅调整。在某些情况下,要求候选人克隆一个Web3仓库并在本地运行,作为面试流程的一部分;而在其他情况下,则指示他们修复代码中故意引入的错误。
其中一个有问题的Bitbucket仓库涉及一个名为“miketoken_v2”的项目,该项目现已无法在代码托管平台上访问。
就在前一天,SentinelOne披露称,“传染性面试”活动正被用于投放另一个代号为FlexibleFerret的恶意软件。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
