«Вы нам подходите, осталось запустить этот файл». Как разработчики скачивают вирусы вместо работы
NewsMakerГруппировка NICKEL ALLEY крадет криптовалюту через поддельные тестовые задания.
Собеседование мечты может обернуться установкой вредоносной программы, а тестовое задание – кражей криптовалюты. За такими атаками стоит группировка NICKEL ALLEY, связанная с Северной Кореей. Злоумышленники выдают себя за работодателей и методично заманивают разработчиков в ловушку.
Специалисты Sophos разобрали свежие случаи кампании Contagious Interview и заметили, что схема почти не меняется. Злоумышленники создают фальшивые страницы компаний в LinkedIn, поднимают аккаунты на GitHub и приглашают кандидатов на «собеседование». Дальше жертве предлагают выполнить тестовое задание , которое на деле запускает вредоносный код.
Один из основных приёмов получил название ClickFix . Кандидату показывают страницу с «ошибкой» и предлагают запустить команду, чтобы «исправить проблему». На деле команда скачивает архив с сервера злоумышленников, распаковывает файлы во временную папку Windows и запускает сценарий. В цепочке заражения используют переименованный интерпретатор Python и файл с названием вроде nvidia.py, маскирующийся под системный компонент.
В результате запускается троян PyLangGhost. Программа умеет выполнять команды, собирать данные о системе, красть файлы, а также вытаскивать пароли и файлы cookie из браузеров. Особый интерес вызывают расширения с криптокошельками в Google Chrome, что прямо указывает на финансовую мотивацию атак.
Собеседование мечты может обернуться установкой вредоносной программы, а тестовое задание – кражей криптовалюты. За такими атаками стоит группировка NICKEL ALLEY, связанная с Северной Кореей. Злоумышленники выдают себя за работодателей и методично заманивают разработчиков в ловушку.
Специалисты Sophos разобрали свежие случаи кампании Contagious Interview и заметили, что схема почти не меняется. Злоумышленники создают фальшивые страницы компаний в LinkedIn, поднимают аккаунты на GitHub и приглашают кандидатов на «собеседование». Дальше жертве предлагают выполнить тестовое задание , которое на деле запускает вредоносный код.
Один из основных приёмов получил название ClickFix . Кандидату показывают страницу с «ошибкой» и предлагают запустить команду, чтобы «исправить проблему». На деле команда скачивает архив с сервера злоумышленников, распаковывает файлы во временную папку Windows и запускает сценарий. В цепочке заражения используют переименованный интерпретатор Python и файл с названием вроде nvidia.py, маскирующийся под системный компонент.
В результате запускается троян PyLangGhost. Программа умеет выполнять команды, собирать данные о системе, красть файлы, а также вытаскивать пароли и файлы cookie из браузеров. Особый интерес вызывают расширения с криптокошельками в Google Chrome, что прямо указывает на финансовую мотивацию атак.