Северокорейские хакеры вновь организуют фальшивые собеседования для заражения ничего не подозирающих жертв информационно-вымогательным вредоносным ПО, но на этот раз они сосредоточены на пользователях устройств Apple.
Исследователь по кибербезопасности Патрик Уордл недавно обнаружил новый вариант BeaverTail, известного инфостиллера, способного собирать чувствительную информацию из веб-браузеров (включая Google Chrome, Brave и Opera), криптовалют, учетных данных для входа, ключа iCloud Keychain и многого другого. BeaverTail также может служить как дроппер, развертывая задний проход InvisibleFerret для постоянного удаленного доступа.
Вредоносную программу было дано имя «MiroTalk.dmg», в попытке заставить людей думать, что они загружают сервис видеозвонков MiroTalk. DMG — это файл образа диска Apple macOS.
Если мне пришлось бы угадывать, хакеры КНДР, вероятно, обратились к своим потенциальным жертвам, запрашивая их присоединиться к собеседованию на работу, скачивая и выполняя (зараженную версию) MiroTalk, размещенную на mirotalk[.]net, — сказал Уордл.
Это не первый случай, когда наблюдается фейковые вакансии северокорейских хакеров. Известная группа Лазарь уже несколько раз проводила такие кампании, и в один момент они даже смогли украсть около $600 миллионов из криптовалютного проекта после обмана разработчика таким образом.
То, что делает эту кампанию интересной, — ранее BeaverTail распространялась через вредоносные пакеты npm, размещенные на GitHub и npm.
Северокорейские хакеры — хитрый круг, и они довольно искусны в взломе целей macOS, хотя их техника часто зависит от социальной инженерии (и поэтому с технической точки зрения довольно невпечатляюща) — сказал Уордл.
Иными словами, лучший способ оставаться в безопасности — быть осторожным в отношении входящих предложений о работе, особенно если они звучат слишком хорошо, чтобы быть правдой. Всегда следует проводить своевременную проверку на фоновую информацию компании, которая приглашает на работу, и людей, ведущих процесс найма.
Источник: TechRadar
