Lazarus-Gruppe entwickelt Taktiken weiter, um CeFi-Jobsuchende mit "ClickFix"-Malware zu attackieren
Ein kürzlich veröffentlichter Cybersecurity-Bericht von Sekoia hat eine sich entwickelnde Bedrohung durch die Lazarus-Gruppe aufgedeckt, die berüchtigte, mit Nordkorea verbundene Hacking-Gruppe. Sie nutzt nun eine als "ClickFix" bekannte Taktik, um Arbeitssuchende im Kryptowährungssektor, insbesondere im Bereich der zentralisierten Finanzierung (CeFi), ins Visier zu nehmen.
Dieser Ansatz stellt eine Anpassung der früheren "Contagious Interview"-Kampagne der Gruppe dar, die zuvor auf Entwickler und Ingenieure in AI- und Krypto-Positionen abzielte.
Lazarus nutzt Krypto-Freelance-Angebote aus
In der neu beobachteten Kampagne hat Lazarus seinen Fokus auf nicht-technische Fachkräfte wie Marketing- und Geschäftsentwicklungspersonal verlagert, indem es große Krypto-Firmen wie Coinbase, KuCoin, Kraken und sogar den Stablecoin-Herausgeber Tether imitiert.
Die Angreifer erstellen gefälschte Websites, die Bewerbungsportale imitieren, und locken Kandidaten mit gefälschten Intervieweinladungen. Diese Seiten enthalten oft realistische Bewerbungsformulare und sogar Anfragen für Videoeinführungen, um ein Gefühl der Legitimität zu vermitteln.
Wenn ein Benutzer jedoch versucht, ein Video aufzunehmen, wird ihm eine erfundene Fehlermeldung angezeigt, die normalerweise einen Webcam- oder Treiberfehler suggeriert. Die Seite fordert den Benutzer dann auf, PowerShell-Befehle auszuführen, um das Problem zu beheben, wodurch der Malware-Download ausgelöst wird.
Diese ClickFix-Methode, obwohl relativ neu, wird aufgrund ihrer psychologischen Einfachheit immer häufiger verwendet – da die Benutzer glauben, sie würden ein technisches Problem lösen und nicht bösartigen Code ausführen. Laut Sekoia zieht die Kampagne Material aus 184 gefälschten Intervieweinladungen und verweist dabei auf mindestens 14 prominente Unternehmen, um die Glaubwürdigkeit zu erhöhen.
Damit zeigt die neueste Taktik die zunehmende Raffinesse von Lazarus im Bereich Social Engineering und ihre Fähigkeit, die beruflichen Aspirationen von Menschen auf dem wettbewerbsintensiven Krypto-Arbeitsmarkt auszunutzen. Diese Verschiebung deutet interessanterweise auch darauf hin, dass die Gruppe ihre Zielkriterien erweitert, indem sie nicht nur diejenigen anvisiert, die Zugriff auf Code oder Infrastruktur haben, sondern auch diejenigen, die möglicherweise sensible interne Daten verwalten oder in der Lage sind, ungewollt Sicherheitslücken zu erleichtern.
Trotz des Auftauchens von ClickFix berichtete Sekoia, dass die ursprüngliche Contagious Interview-Kampagne weiterhin aktiv ist. Diese parallele Bereitstellung von Strategien legt nahe, dass das staatlich gesponserte Kollektiv Nordkoreas möglicherweise deren relative Effektivität testet oder die Taktiken an verschiedene Zielgruppen anpasst. In beiden Fällen teilen die Kampagnen ein konsistentes Ziel – die Verbreitung von Info-Stealing-Malware durch vertrauenswürdige Kanäle und die Manipulation von Opfern zur Selbstinfektion.
Lazarus hinter Bybit-Hack
Das Federal Bureau of Investigation (FBI) hat den $1,5 Milliarden schweren Angriff auf Bybit offiziell der Lazarus-Gruppe zugeschrieben. Hacker, die die Krypto-Börse anvisierten, nutzten gefälschte Jobangebote, um Mitarbeiter dazu zu bringen, verfälschte Handelssoftware namens "TraderTraitor" zu installieren.
Obwohl die Anwendungen authentisch wirkten, da sie mit plattformübergreifendem JavaScript und Node.js entwickelt wurden, war Malware eingebettet, die private Schlüssel stehlen und illegale Transaktionen auf der Blockchain ausführen sollte.
