Výzkumníci zabývající se kybernetickou bezpečností ve společnosti Gen, poskytovatele produktů Avast, AVG, Norton a CCleaner, odhalili nový typ útoku na LinkedInu, který se šíří i v České republice. Hackeři se zaměřují na mladé front-end vývojáře, zejména ty, kteří se specializují na NFT a blockchain, a lákají je na vývoj fiktivních platforem.
Nový druh útoku ohrožuje uživatele sítě LinkedIn
Po oslovení oběti falešný náborář nabídne lukrativní práci s vysokým platem. Jakmile vývojář projeví zájem, útočník mu pošle odkaz na repozitář s testovacím kódem a žádá ho, aby si ho naklonoval do svého počítače, spustil lokální server a pracoval offline. Co vypadá jako běžný testovací úkol, ve skutečnosti ukrývá malware, který krade přihlašovací údaje, údaje z kryptopeněženek, a dokonce do počítače instaluje software na těžbu kryptoměn.
Jak útok funguje?
Útočník inicializuje kontakt na LinkedInu, kde předstírá, že hledá vývojáře pro decentralizovanou aplikaci (DApp) zaměřenou na obchodování s videohrami pomocí NFT. Po několika zprávách poskytne odkaz na repozitář hostovaný na Bitbucketu, který obsahuje zdánlivě legitimní dokumentaci a architekturu projektu.
Pod povrchem však repozitář ukrývá škodlivý JavaScriptový soubor, který po spuštění:
- krade přihlašovací údaje,
- exfiltruje data z kryptopeněženek,
- stahuje a spouští další škodlivé soubory pomocí Python loaderu.
Zdroj: Avast
Dvoufázový útok: od krádeže údajů po úplné ovládnutí systému
První fáze: spuštění JavaScriptu
Úvodní skript funguje jako infostealer, zaměřuje se na:
- konfigurace kryptopeněženek, zejména na síti Solana,
- uložené přihlašovací údaje v prohlížečích, jako jsou Chrome a Firefox,
- další citlivá data, která mohou být použita pro další útoky,
- poté stáhne Python loader, který provede druhou fázi útoku.
Druhá fáze: převzetí kontroly nad systémem
Python loader spustí trojského koně pro vzdálený přístup (RAT), který umožní útočníkovi:
- Spouštět příkazy na infikovaném zařízení.
- Zachytávat obsah schránky, což může vést k odcizení kryptoměnových transakcí.
- Stahovat další škodlivé soubory.
- Ukončovat procesy v prohlížečích, aby narušil aktivitu uživatele.
- Vyhledávat a exfiltraci citlivých souborů jako .env, readme nebo .git.
Součástí útoku je také XMRig kryptominer, který zneužívá výkon počítače oběti k těžbě kryptoměn. To vede k zvýšené spotřebě energie a snížení výkonu systému.
Spojení s hackerskou skupinou Lazarus
Důkazy naznačují, že za útoky stojí nechvalně proslulá severokorejská hackerská skupina Lazarus. Použití malwarových nástrojů BeaverTail a InvisibleFerret, které jsou typické právě pro Lazarus, ukazuje na jejich možné zapojení. Lazarus je známý svými sofistikovanými kyberútoky zaměřenými na finanční zisky, včetně krádeží kryptoměn.
Nebezpečí pro firmy a jednotlivce
Útoky tohoto druhu mohou mít dalekosáhlé důsledky. Kromě krádeže kryptoměn a přihlašovacích údajů mohou útočníci:
- Infikovat firemní systémy prostřednictvím ukradených přístupových údajů.
- Nasadit ransomware, který může firmám způsobit milionové škody.
- Zneužít napadená zařízení k dalším útokům, což rozšiřuje dopad hrozby.
Zdroj: Midjourney
Jak se bránit?
Tento případ je důležitým varováním pro vývojáře i zaměstnavatele. Pro snížení rizika kybernetického útoku jsou doporučené následující opatření.
- Ověřovat důvěryhodnost náborářů – před testováním kódu si domluvte videohovor, zkontrolujte firmu a ověřte její historii.
- Prověřovat repozitáře před spuštěním kódu – analyzujte soubory na přítomnost podezřelých skriptů a používejte bezpečnostní nástroje.
- Nebýt naivní u podezřele vysokých nabídek – pokud něco zní příliš dobře, pravděpodobně to není pravda.
- Spouštět neznámý kód v sandboxu – izolované prostředí zabrání infekci hlavního systému.
- Držet se aktuálních bezpečnostních trendů – sledování nejnovějších hrozeb pomáhá identifikovat podezřelé aktivity dříve, než se stanou nebezpečnými.
Tento sofistikovaný útok poukazuje na to, že kyberzločinci stále častěji využívají sociální inženýrství k získání důvěry svých obětí. Vývojáři, zejména ti méně zkušení, by měli být mimořádně opatrní při přijímání pracovních nabídek, které vyžadují stahování a spouštění neznámého kódu.
Rostoucí propojení mezi kyberkriminalitou a technologickými inovacemi znamená, že obrana proti těmto útokům musí být neustále aktualizována a posilována. Vzdělávání a obezřetnost jsou klíčem k bezpečnosti v digitálním světě.
Zdroj: Tisková zpráva