近日,資安業者Group-IB對北韓駭客組織Lazarus發動的攻擊行動提出警告。這些駭客利用冒牌視訊會議軟體FreeConference,假借線上徵才名義,鎖定求職者進行詐騙。
駭客攻擊範圍擴大,Windows與macOS用戶均受影響
根據Group-IB的調查,北韓駭客Lazarus尋找攻擊目標的範圍已擴及多個求職網站,並同時針對Windows與macOS用戶下手。特別的是,他們開始假借視訊會議的名義,向求職者散布惡意程式BeaverTail。
駭客利用視訊會議軟體進行詐騙
在攻擊行動中,駭客假借徵才的名義,誘騙求職者下載含有BeaverTail的Node.js檔案。一旦求職者依照指示執行,這款惡意軟體便會進一步在受害電腦上載入Python後門程式InvisibleFerret。
攻擊手法出現變化,多個求職網站受影響
過去,駭客主要透過LinkedIn尋找下手目標,但現在已經擴大到其他求職網站,如WWR、Moonlight、Upwork等。一旦與求職者取得聯繫,駭客會試圖改用Telegram進行後續交談,並要求求職者下載特定的視訊會議應用程式或Node.js專案。
駭客利用多種手法誘騙求職者
駭客除了針對加密貨幣相關的儲存庫進行攻擊外,還將惡意JavaScript指令碼注入與遊戲有關的儲存庫。他們以分析或調查為由,要求求職者下載惡意軟體。這次駭客的手法出現變化,他們開始以視訊會議軟體為由誘騙求職者上當。
惡意程式詳情
根據Group-IB的調查,駭客散布的冒牌FreeConference應用程式的網站SSL憑證是在8月2日簽發的。這些惡意程式以跨平臺開發框架Qt6打造而成,目前已發現3個打包成Windows安裝檔(FCCCall.msi)的BeaverTail。此外,macOS版的惡意程式也已出現。
一旦使用者啟動視訊會議軟體,電腦會要求輸入會議邀請碼,此時惡意程式也會在後臺運作。這款惡意程式專門從瀏覽器及其延伸套件中挖掘各式帳密資料,得逞後會下載Python執行檔以及用於下個攻擊階段的有效酬載InvisibleFerret。
駭客不斷開發新功能
駭客不僅針對Windows和macOS開發BeaverTail,還打造了威力更強大的Python版本。這款惡意程式除了具備竊取資料的功熊外,還能為攻擊者部署AnyDesk供遠端存取。駭客還為其開發了外掛套件以擴充其他功能。研究人員發現,駭客正在積極開發該惡意程式,並已經看到了尚未使用的新功能函數。
在當前的網絡環境下,求職者需提高警惕,避免在不知情的情况下泄露個人信息。同時,各個求職平台也應加強安全措施,防止駭客利用平台進行詐騙活動。
Views: 0