Des acteurs malveillants affiliés à la Corée du Nord ont été observés utilisant LinkedIn comme moyen de cibler les développeurs dans le cadre d’une fausse opération de recrutement d’emploi.
Ces attaques utilisent des tests de codage comme vecteur d’infection initial commun, a déclaré Mandiant, propriété de Google, dans un nouveau rapport sur les menaces auxquelles est confronté le secteur du Web3.
« Après une conversation initiale par chat, l’attaquant a envoyé un fichier ZIP contenant le malware COVERTCATCH déguisé en défi de codage Python », ont déclaré les chercheurs Robert Wallace, Blas Kojusner et Joseph Dobson.
Le malware fonctionne comme une rampe de lancement pour compromettre le système macOS de la cible en téléchargeant une charge utile de deuxième étape qui établit la persistance via des agents de lancement et des démons de lancement.
Il convient de souligner qu’il s’agit de l’une des nombreuses activités menées par des groupes de pirates informatiques nord-coréens, notamment Operation Dream Job, Contagious Interview et d’autres, qui utilisent des leurres liés à l’emploi pour infecter leurs cibles avec des logiciels malveillants.
Les leurres à thème de recrutement ont également été une tactique courante pour diffuser des familles de logiciels malveillants telles que RustBucket et KANDYKORN.
Mandiant a déclaré avoir observé une campagne d’ingénierie sociale qui a diffusé un PDF malveillant déguisé en description de poste pour un « vice-président des finances et des opérations » dans une importante bourse de crypto-monnaie.
« Le PDF malveillant a laissé tomber un malware de deuxième étape connu sous le nom de RustBucket, qui est une porte dérobée écrite en Rust qui prend en charge l’exécution de fichiers. »
L’implant RustBucket est équipé pour collecter des informations système de base, communiquer avec une URL fournie via la ligne de commande et configurer la persistance à l’aide d’un agent de lancement qui se déguise en « mise à jour Safari » afin de contacter un domaine de commande et de contrôle (C2) codé en dur.
Les attaques contre les organisations Web3 par la Corée du Nord vont également au-delà de l’ingénierie sociale pour englober les attaques contre la chaîne d’approvisionnement de logiciels, comme on l’a observé lors des incidents visant 3CX et JumpCloud ces dernières années.
« Une fois qu’un point d’appui est établi via un logiciel malveillant, les attaquants se tournent vers les gestionnaires de mots de passe pour voler des informations d’identification, effectuer une reconnaissance interne via des dépôts de code et de la documentation, et se tournent vers l’environnement d’hébergement cloud pour révéler les clés de portefeuille chaudes et éventuellement drainer les fonds », a déclaré Mandiant.
Cette révélation intervient alors que le Federal Bureau of Investigation (FBI) américain a lancé un avertissement concernant les acteurs malveillants nord-coréens ciblant le secteur des cryptomonnaies en utilisant des « campagnes d’ingénierie sociale hautement ciblées et difficiles à détecter ».
Ces efforts continus, qui se font passer pour des sociétés de recrutement ou des individus qu’une victime peut connaître personnellement ou indirectement avec des offres d’emploi ou d’investissement, sont considérés comme un canal pour des vols de crypto-monnaies éhontés conçus pour générer des revenus illicites pour un royaume ermite, qui a fait l’objet de sanctions internationales.
Parmi les tactiques employées figurent notamment l’identification des entreprises liées aux cryptomonnaies qui les intéressent, la réalisation de recherches pré-opérationnelles approfondies sur leurs cibles avant d’initier le contact, et l’élaboration de faux scénarios personnalisés pour tenter d’attirer les victimes potentielles et d’augmenter les chances de succès de leurs attaques.
« Les acteurs peuvent faire référence à des informations personnelles, des intérêts, des affiliations, des événements, des relations personnelles, des connexions professionnelles ou des détails qu’une victime peut croire connus de peu d’autres », a déclaré le FBI, soulignant les tentatives visant à établir un rapport et à finalement diffuser des logiciels malveillants.
« S’il parvient à établir un contact bidirectionnel, l’acteur initial, ou un autre membre de son équipe, peut passer un temps considérable à dialoguer avec la victime pour accroître le sentiment de légitimité et engendrer familiarité et confiance. »