Les acteurs de la menace nord-coréenne derrière une interview contagieuse ont adopté la tactique de l’ingénierie sociale de Clickfix de plus en plus populaire pour attirer les demandeurs d’emploi dans le secteur de la crypto-monnaie pour offrir une porte dérobée au départ sans papiers sans documentation appelée Golangghost sur Windows et MacOS.
La nouvelle activité, évaluée comme une continuation de la campagne, a été nommée Entretien de Clickfake par la société française de cybersécurité Sekoia. L’interview contagieuse, également suivie comme DeceptivedEvelopment, Dev # Popper et Famous Chollima, est connue pour être active depuis au moins décembre 2022, bien qu’elle ait été publiquement documentée pour la première fois à la fin de 2023.
“Il utilise des sites Web d’entretien d’emploi légitimes pour tirer parti de la tactique Clickfix et installer Windows et MacOS Backdoors”, les chercheurs de Sekoia Amaury G., Coline Chavane et Felix Aimé ditattribuant l’effort à l’infâme Groupe de Lazareun adversaire prolifique attribué au Bureau général de reconnaissance (RVB) de la République populaire démocratique de Corée (RPDC).
Un aspect notable de la campagne est qu’il cible principalement les entités financières centralisées en usurpant l’identité de sociétés comme Coinbase, Kucoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood et Bybit, marquant un départ des attaques du groupe de piratage contre les entités de finance décentralisées (DEFI).
L’interview contagieuse, comme Operation Dream Job, utilise de fausses offres d’emploi comme leurre pour attirer des cibles potentielles et les duper dans le téléchargement de logiciels malveillants qui peuvent voler la crypto-monnaie et d’autres données sensibles.
Dans le cadre de l’effort, les candidats sont approchés via LinkedIn ou X pour se préparer à un interview d’appel vidéo, pour lequel ils sont invités à télécharger un logiciel de vidéoconférence de logiciels malveillants ou un projet open source qui active le processus d’infection.
L’utilisation par le groupe de Lazarus de la tactique Clickfix a été divulguée pour la première fois vers la fin de 2024 par le chercheur en sécurité Taylor Monahan, les chaînes d’attaque conduisant au déploiement d’une famille de logiciels malveillants appelée Ferret qui livre ensuite la porte dérobée de Golang.
Dans cette itération de la campagne, les victimes sont priées de visiter un prétendu service d’interview vidéo nommé Willo et de terminer une évaluation vidéo d’eux-mêmes.
“L’ensemble de la configuration, méticuleusement conçue pour établir la confiance des utilisateurs, se déroule en douceur jusqu’à ce que l’utilisateur soit invité à permettre à sa caméra”, a expliqué Sekoia. “À ce stade, un message d’erreur apparaît indiquant que l’utilisateur doit télécharger un pilote pour résoudre le problème. C’est là que l’opérateur utilise la technique ClickFix.”
Les instructions données à la victime pour permettre l’accès à la caméra ou au microphone varient en fonction du système d’exploitation utilisé. Sur Windows, les cibles sont invitées à ouvrir l’invite de commande et à exécuter une commande Curl pour exécuter un fichier Visual Basic Script), qui lance ensuite un script de lot pour exécuter Golangghost.
Dans le cas où la victime visite le site à partir d’une machine MacOS, il est également invité à lancer l’application Terminal et à exécuter une commande curl pour exécuter un script shell. Le script de shell malveillant, pour sa part, exécute un deuxième script shell qui, à son tour, exécute un module de voleur surnommé FrostyFerret (aka ChromeupDateAlert) et la porte dérobée.
FrostyFerret affiche une fausse fenêtre indiquant que le navigateur Web Chrome a besoin d’accéder à l’appareil photo ou au microphone de l’utilisateur, après quoi il affiche une invite pour entrer le mot de passe du système. Les informations saisies, qu’elles soient valides ou non, sont exfiltrées à un emplacement Dropbox, indiquant probablement une tentative d’accéder au clés iCloud à l’aide du mot de passe volé.
Golangghost est conçu pour faciliter la télécommande et le vol de données via plusieurs commandes qui lui permettent de télécharger / télécharger des fichiers, d’envoyer des informations d’hôte et de voler les données du navigateur Web.
“Il a été constaté que toutes les positions n’étaient pas liées aux profils techniques dans le développement de logiciels”, a noté Sekia. “Ce sont principalement des emplois de gestionnaire axés sur le développement des entreprises, la gestion des actifs, le développement de produits ou les spécialistes des finances décentralisés.”
“Il s’agit d’un changement significatif par rapport aux campagnes documentées précédentes attribuées aux acteurs de la menace DPRC-Nexus et sur la base de fausses entretiens d’embauche, qui cibtent principalement les développeurs et les ingénieurs logiciels.”
Le programme de travailleurs informatiques de la Corée du Nord devient actif en Europe
Le développement intervient alors que le Google Threat Intelligence Group (GTIG) a déclaré qu’il avait observé une augmentation du régime frauduleux des travailleurs informatiques en Europe, soulignant une expansion importante de leurs opérations au-delà des États-Unis.
L’activité des travailleurs informatiques implique des ressortissants nord-coréens qui se font passer pour des travailleurs éloignés légitimes pour infiltrer les entreprises et générer des revenus illicites pour Pyongyang en violation des sanctions internationales.
Une prise de conscience accrue de l’activité, associée aux actes d’accusation du ministère de la Justice américaines, a provoqué une “expansion mondiale des opérations des travailleurs informatiques”, a déclaré Google, notant qu’il a découvert plusieurs personnages fabriqués à la recherche d’un emploi dans diverses organisations situées en Allemagne et au Portugal.
Les travailleurs informatiques ont également été observés en entreprenant divers projets au Royaume-Uni en matière de développement Web, de développement de robots, de développement du système de gestion de contenu (CMS) et de la technologie de la blockchain, falsifiant souvent leurs identités et prétendant être d’Italie, du Japon, de la Malaisie, de Singapour, de l’Ukraine, des États-Unis et du Vietnam.
Cette tactique des travailleurs informatiques se faisant passer pour des ressortissants vietnamiens, japonais et singapouriens était également mis en évidence par la société de renseignement gérée Nisos au début du mois dernier, tout en soulignant leur utilisation de GitHub pour sculpter de nouvelles personnages ou recycler le contenu du portefeuille de personnages plus âgés pour renforcer leurs nouveaux.
“Les travailleurs informatiques en Europe ont été recrutés via diverses plates-formes en ligne, notamment Upwork, Telegram et Freelancer”, Jamie Collier, conseiller principal de renseignement des menaces pour l’Europe à GTIG, dit. “Le paiement de leurs services a été facilité par la crypto-monnaie, le service Transferwise et Payoneer, mettant en évidence l’utilisation de méthodes qui obscurcissent l’origine et la destination des fonds.”
En plus d’utiliser les facilitateurs locaux pour les aider à décrocher des emplois, l’opération de menace d’initié est d’assister à ce qui semble être un pic des tentatives d’extorsion depuis octobre 2024, lorsqu’il est devenu public que ces travailleurs informatiques recourent à des paiements de rançon de leurs employeurs pour les empêcher de publier des données de propriété ou pour les fournir à un concurrent.
Dans ce qui semble être une autre évolution du programme, les travailleurs informatiques ciblaient désormais des sociétés qui exploitent une politique de Bring Your Propre (BYOD) en raison du fait que ces appareils sont peu susceptibles d’avoir des outils traditionnels de sécurité et de journalisation utilisés dans les environnements d’entreprise.
“L’Europe doit se réveiller rapidement. Bien qu’il soit dans le réticule des opérations des travailleurs informatiques, trop de percevoir cela comme un problème américain. Les changements récents de la Corée du Nord proviennent probablement des obstacles opérationnels américains, montrant l’agilité et la capacité des travailleurs de l’informatique à s’adapter aux circonstances changeantes”, a déclaré Collier.
“Une décennie de diverses cyberattaques précède la dernière augmentation de la Corée du Nord – du ciblage rapide et des ransomwares à la crypto-monnaie et au compromis de la chaîne d’approvisionnement. Cette innovation implacable démontre un engagement de longue date à financer le régime grâce aux cyber-opérations.”




