Остерегайтесь этих поддельных предложений о работе в LinkedIn — они могут привести к заражению вредоносным ПО.
вычисления techradar.com Новости

Остерегайтесь этих поддельных предложений о работе в LinkedIn — они могут привести к заражению вредоносным ПО.

13 марта 2023 г.

Считается, что группа хакеров из Северной Кореи стоит за новой кампанией вредоносного ПО, которая использует поддельные предложения о работе в LinkedIn, чтобы заманить своих жертв.

Группа публикует поддельные предложения о работе в СМИ, технологической и оборонной отраслях под видом законных рекрутеров. Они даже выдавали себя за New York Times в одной рекламе.

Фирма по анализу угроз Mandiant обнаружил, что кампания продолжается с июня 2022 года. Компания считает, что она связана с другой кампанией вредоносного ПО из Северной Кореи, проводимой печально известной группой Lazarus, известной как «Операция Dream Job», которая взламывает системы. принадлежит криптопользователям.

Фишинг для жертв

Mandiant, со своей стороны, считает, что новая кампания принадлежит группе, отличной от Lazarus, и уникальна тем, что вредоносные программы TouchMove, SideShow и TouchShift, используемые в атаках, никогда ранее не встречались.

После того, как пользователь отвечает на предложение о работе в LinkedIn, хакеры затем продолжают процесс в WhatsApp, где они делятся документом Word, содержащим опасные макросы, которые устанавливают трояны со взломанных хакерами сайтов WordPress и используют их в качестве своего центра управления.

Этот троян, основанный на TightVNC и известный как LidShift, в свою очередь загружает вредоносный плагин Notepad++, который загружает вредоносное ПО, известное как LidShot, которое затем развертывает на устройстве последнюю полезную нагрузку: бэкдор PlankWalk.

После этого хакеры используют дроппер вредоносного ПО под названием TouchShift, скрытый в бинарном файле Windows. Это загружает множество дополнительного вредоносного контента, включая TouchShot и TouchKey, утилиту для создания скриншотов и кейлоггер соответственно, а также вызов загрузчика TouchMove.

Он также загружает еще один бэкдор под названием SideShow, который позволяет выполнять высокоуровневые контроль над системой хоста, например возможность редактировать реестр, изменять настройки брандмауэра и выполнять дополнительные полезные нагрузки.

подробнее

> Google сообщает, что Северная Корея нацелилась на Интернет Уязвимость нулевого дня в Explorer

> Исследуете Северную Корею в Интернете? Вы можете стать жертвой атаки вредоносного ПО

> У LinkedIn возникла проблема с поддельные профили

Хакеры также использовали вредоносное ПО CloudBurst в компаниях, которые не использовали VPN, путем злоупотребления службой управления конечными точками Microsoft Intune.

Кроме того, хакеры также воспользовались уязвимостью нулевого дня в драйвере ASUS «Driver7.sys», который используется другой полезной нагрузкой под названием LightShow для исправления подпрограмм ядра. в программном обеспечении Endpoint Protection для предотвращения обнаружения. С тех пор этот недостаток был исправлен.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE