{"id":1609164,"date":"2025-04-03T13:29:13","date_gmt":"2025-04-03T15:29:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-groupe-lazarus-cible-les-demandeurs-demploi-avec-une-tactique-clickfix-pour-deployer-des-logiciels-malveillants-de-golangghost\/"},"modified":"2025-04-03T13:29:18","modified_gmt":"2025-04-03T15:29:18","slug":"le-groupe-lazarus-cible-les-demandeurs-demploi-avec-une-tactique-clickfix-pour-deployer-des-logiciels-malveillants-de-golangghost","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-groupe-lazarus-cible-les-demandeurs-demploi-avec-une-tactique-clickfix-pour-deployer-des-logiciels-malveillants-de-golangghost\/","title":{"rendered":"Le groupe Lazarus cible les demandeurs d&#8217;emploi avec une tactique Clickfix pour d\u00e9ployer des logiciels malveillants de Golangghost"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Le-groupe-Lazarus-cible-les-demandeurs-demploi-avec-une-tactique.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les acteurs de la menace nord-cor\u00e9enne derri\u00e8re une interview contagieuse ont adopt\u00e9 la tactique de l&#8217;ing\u00e9nierie sociale de Clickfix de plus en plus populaire pour attirer les demandeurs d&#8217;emploi dans le secteur de la crypto-monnaie pour offrir une porte d\u00e9rob\u00e9e au d\u00e9part sans papiers sans documentation appel\u00e9e Golangghost sur Windows et MacOS.<\/p>\n<p>La nouvelle activit\u00e9, \u00e9valu\u00e9e comme une continuation de la campagne, a \u00e9t\u00e9 nomm\u00e9e <strong>Entretien de Clickfake<\/strong> par la soci\u00e9t\u00e9 fran\u00e7aise de cybers\u00e9curit\u00e9 Sekoia. L&#8217;interview contagieuse, \u00e9galement suivie comme DeceptivedEvelopment, Dev # Popper et Famous Chollima, est connue pour \u00eatre active depuis au moins d\u00e9cembre 2022, bien qu&#8217;elle ait \u00e9t\u00e9 publiquement document\u00e9e pour la premi\u00e8re fois \u00e0 la fin de 2023.<\/p>\n<p>&#8220;Il utilise des sites Web d&#8217;entretien d&#8217;emploi l\u00e9gitimes pour tirer parti de la tactique Clickfix et installer Windows et MacOS Backdoors&#8221;, les chercheurs de Sekoia Amaury G., Coline Chavane et Felix Aim\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sekoia.io\/clickfake-interview-campaign-by-lazarus\/\" target=\"_blank\">dit<\/a>attribuant l&#8217;effort \u00e0 l&#8217;inf\u00e2me <a rel=\"noopener nofollow\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2025\/03\/classifying-lazaruss-subgroup.html\" target=\"_blank\">Groupe de Lazare<\/a>un adversaire prolifique attribu\u00e9 au Bureau g\u00e9n\u00e9ral de reconnaissance (RVB) de la R\u00e9publique populaire d\u00e9mocratique de Cor\u00e9e (RPDC).<\/p>\n<p>Un aspect notable de la campagne est qu&#8217;il cible principalement les entit\u00e9s financi\u00e8res centralis\u00e9es en usurpant l&#8217;identit\u00e9 de soci\u00e9t\u00e9s comme Coinbase, Kucoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood et Bybit, marquant un d\u00e9part des attaques du groupe de piratage contre les entit\u00e9s de finance d\u00e9centralis\u00e9es (DEFI).<\/p>\n<p>L&#8217;interview contagieuse, comme Operation Dream Job, utilise de fausses offres d&#8217;emploi comme leurre pour attirer des cibles potentielles et les duper dans le t\u00e9l\u00e9chargement de logiciels malveillants qui peuvent voler la crypto-monnaie et d&#8217;autres donn\u00e9es sensibles.<\/p>\n<p>Dans le cadre de l&#8217;effort, les candidats sont approch\u00e9s via LinkedIn ou X pour se pr\u00e9parer \u00e0 un interview d&#8217;appel vid\u00e9o, pour lequel ils sont invit\u00e9s \u00e0 t\u00e9l\u00e9charger un logiciel de vid\u00e9oconf\u00e9rence de logiciels malveillants ou un projet open source qui active le processus d&#8217;infection.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Lucid-PhaaS-atteint-169-cibles-dans-88-pays-utilisant-iMessage.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;utilisation par le groupe de Lazarus de la tactique Clickfix a \u00e9t\u00e9 divulgu\u00e9e pour la premi\u00e8re fois vers la fin de 2024 par le chercheur en s\u00e9curit\u00e9 Taylor Monahan, les cha\u00eenes d&#8217;attaque conduisant au d\u00e9ploiement d&#8217;une famille de logiciels malveillants appel\u00e9e Ferret qui livre ensuite la porte d\u00e9rob\u00e9e de Golang.<\/p>\n<p>Dans cette it\u00e9ration de la campagne, les victimes sont pri\u00e9es de visiter un pr\u00e9tendu service d&#8217;interview vid\u00e9o nomm\u00e9 Willo et de terminer une \u00e9valuation vid\u00e9o d&#8217;eux-m\u00eames.<\/p>\n<p>&#8220;L&#8217;ensemble de la configuration, m\u00e9ticuleusement con\u00e7ue pour \u00e9tablir la confiance des utilisateurs, se d\u00e9roule en douceur jusqu&#8217;\u00e0 ce que l&#8217;utilisateur soit invit\u00e9 \u00e0 permettre \u00e0 sa cam\u00e9ra&#8221;, a expliqu\u00e9 Sekoia. &#8220;\u00c0 ce stade, un message d&#8217;erreur appara\u00eet indiquant que l&#8217;utilisateur doit t\u00e9l\u00e9charger un pilote pour r\u00e9soudre le probl\u00e8me. C&#8217;est l\u00e0 que l&#8217;op\u00e9rateur utilise la technique ClickFix.&#8221;<\/p>\n<p>Les instructions donn\u00e9es \u00e0 la victime pour permettre l&#8217;acc\u00e8s \u00e0 la cam\u00e9ra ou au microphone varient en fonction du syst\u00e8me d&#8217;exploitation utilis\u00e9. Sur Windows, les cibles sont invit\u00e9es \u00e0 ouvrir l&#8217;invite de commande et \u00e0 ex\u00e9cuter une commande Curl pour ex\u00e9cuter un fichier Visual Basic Script), qui lance ensuite un script de lot pour ex\u00e9cuter Golangghost.<\/p>\n<p>Dans le cas o\u00f9 la victime visite le site \u00e0 partir d&#8217;une machine MacOS, il est \u00e9galement invit\u00e9 \u00e0 lancer l&#8217;application Terminal et \u00e0 ex\u00e9cuter une commande curl pour ex\u00e9cuter un script shell. Le script de shell malveillant, pour sa part, ex\u00e9cute un deuxi\u00e8me script shell qui, \u00e0 son tour, ex\u00e9cute un module de voleur surnomm\u00e9 FrostyFerret (aka ChromeupDateAlert) et la porte d\u00e9rob\u00e9e.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743694152_262_Le-groupe-Lazarus-cible-les-demandeurs-demploi-avec-une-tactique.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743694152_262_Le-groupe-Lazarus-cible-les-demandeurs-demploi-avec-une-tactique.jpg\" alt=\"\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\"\/><\/a><\/div>\n<p>FrostyFerret affiche une fausse fen\u00eatre indiquant que le navigateur Web Chrome a besoin d&#8217;acc\u00e9der \u00e0 l&#8217;appareil photo ou au microphone de l&#8217;utilisateur, apr\u00e8s quoi il affiche une invite pour entrer le mot de passe du syst\u00e8me. Les informations saisies, qu&#8217;elles soient valides ou non, sont exfiltr\u00e9es \u00e0 un emplacement Dropbox, indiquant probablement une tentative d&#8217;acc\u00e9der au cl\u00e9s iCloud \u00e0 l&#8217;aide du mot de passe vol\u00e9.<\/p>\n<p>Golangghost est con\u00e7u pour faciliter la t\u00e9l\u00e9commande et le vol de donn\u00e9es via plusieurs commandes qui lui permettent de t\u00e9l\u00e9charger \/ t\u00e9l\u00e9charger des fichiers, d&#8217;envoyer des informations d&#8217;h\u00f4te et de voler les donn\u00e9es du navigateur Web.<\/p>\n<p>&#8220;Il a \u00e9t\u00e9 constat\u00e9 que toutes les positions n&#8217;\u00e9taient pas li\u00e9es aux profils techniques dans le d\u00e9veloppement de logiciels&#8221;, a not\u00e9 Sekia. &#8220;Ce sont principalement des emplois de gestionnaire ax\u00e9s sur le d\u00e9veloppement des entreprises, la gestion des actifs, le d\u00e9veloppement de produits ou les sp\u00e9cialistes des finances d\u00e9centralis\u00e9s.&#8221;<\/p>\n<p>&#8220;Il s&#8217;agit d&#8217;un changement significatif par rapport aux campagnes document\u00e9es pr\u00e9c\u00e9dentes attribu\u00e9es aux acteurs de la menace DPRC-Nexus et sur la base de fausses entretiens d&#8217;embauche, qui cibtent principalement les d\u00e9veloppeurs et les ing\u00e9nieurs logiciels.&#8221;<\/p>\n<h3>Le programme de travailleurs informatiques de la Cor\u00e9e du Nord devient actif en Europe<\/h3>\n<p>Le d\u00e9veloppement intervient alors que le Google Threat Intelligence Group (GTIG) a d\u00e9clar\u00e9 qu&#8217;il avait observ\u00e9 une augmentation du r\u00e9gime frauduleux des travailleurs informatiques en Europe, soulignant une expansion importante de leurs op\u00e9rations au-del\u00e0 des \u00c9tats-Unis.<\/p>\n<p>L&#8217;activit\u00e9 des travailleurs informatiques implique des ressortissants nord-cor\u00e9ens qui se font passer pour des travailleurs \u00e9loign\u00e9s l\u00e9gitimes pour infiltrer les entreprises et g\u00e9n\u00e9rer des revenus illicites pour Pyongyang en <a rel=\"noopener nofollow\" href=\"https:\/\/assets.publishing.service.gov.uk\/media\/66e2ec410d913026165c3d91\/OFSI_Advisory_on_North_Korean_IT_Workers.pdf\" target=\"_blank\">violation des sanctions internationales<\/a>.<\/p>\n<p>Une prise de conscience accrue de l&#8217;activit\u00e9, associ\u00e9e aux actes d&#8217;accusation du minist\u00e8re de la Justice am\u00e9ricaines, a provoqu\u00e9 une &#8220;expansion mondiale des op\u00e9rations des travailleurs informatiques&#8221;, a d\u00e9clar\u00e9 Google, notant qu&#8217;il a d\u00e9couvert plusieurs personnages fabriqu\u00e9s \u00e0 la recherche d&#8217;un emploi dans diverses organisations situ\u00e9es en Allemagne et au Portugal.<\/p>\n<p>Les travailleurs informatiques ont \u00e9galement \u00e9t\u00e9 observ\u00e9s en entreprenant divers projets au Royaume-Uni en mati\u00e8re de d\u00e9veloppement Web, de d\u00e9veloppement de robots, de d\u00e9veloppement du syst\u00e8me de gestion de contenu (CMS) et de la technologie de la blockchain, falsifiant souvent leurs identit\u00e9s et pr\u00e9tendant \u00eatre d&#8217;Italie, du Japon, de la Malaisie, de Singapour, de l&#8217;Ukraine, des \u00c9tats-Unis et du Vietnam.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cette tactique des travailleurs informatiques se faisant passer pour des ressortissants vietnamiens, japonais et singapouriens \u00e9tait \u00e9galement <a rel=\"noopener nofollow\" href=\"https:\/\/nisos.com\/research\/dprk-github-employment-fraud\/\" target=\"_blank\">mis en \u00e9vidence<\/a> par la soci\u00e9t\u00e9 de renseignement g\u00e9r\u00e9e Nisos au d\u00e9but du mois dernier, tout en soulignant leur utilisation de GitHub pour sculpter de nouvelles personnages ou recycler le contenu du portefeuille de personnages plus \u00e2g\u00e9s pour renforcer leurs nouveaux.<\/p>\n<p>&#8220;Les travailleurs informatiques en Europe ont \u00e9t\u00e9 recrut\u00e9s via diverses plates-formes en ligne, notamment Upwork, Telegram et Freelancer&#8221;, Jamie Collier, conseiller principal de renseignement des menaces pour l&#8217;Europe \u00e0 GTIG, <a rel=\"noopener nofollow\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/dprk-it-workers-expanding-scope-scale\" target=\"_blank\">dit<\/a>. &#8220;Le paiement de leurs services a \u00e9t\u00e9 facilit\u00e9 par la crypto-monnaie, le service Transferwise et Payoneer, mettant en \u00e9vidence l&#8217;utilisation de m\u00e9thodes qui obscurcissent l&#8217;origine et la destination des fonds.&#8221;<\/p>\n<p>En plus d&#8217;utiliser les facilitateurs locaux pour les aider \u00e0 d\u00e9crocher des emplois, l&#8217;op\u00e9ration de menace d&#8217;initi\u00e9 est d&#8217;assister \u00e0 ce qui semble \u00eatre un pic des tentatives d&#8217;extorsion depuis octobre 2024, lorsqu&#8217;il est devenu public que ces travailleurs informatiques recourent \u00e0 des paiements de ran\u00e7on de leurs employeurs pour les emp\u00eacher de publier des donn\u00e9es de propri\u00e9t\u00e9 ou pour les fournir \u00e0 un concurrent. <\/p>\n<p>Dans ce qui semble \u00eatre une autre \u00e9volution du programme, les travailleurs informatiques ciblaient d\u00e9sormais des soci\u00e9t\u00e9s qui exploitent une politique de Bring Your Propre (BYOD) en raison du fait que ces appareils sont peu susceptibles d&#8217;avoir des outils traditionnels de s\u00e9curit\u00e9 et de journalisation utilis\u00e9s dans les environnements d&#8217;entreprise.<\/p>\n<p>&#8220;L&#8217;Europe doit se r\u00e9veiller rapidement. Bien qu&#8217;il soit dans le r\u00e9ticule des op\u00e9rations des travailleurs informatiques, trop de percevoir cela comme un probl\u00e8me am\u00e9ricain. Les changements r\u00e9cents de la Cor\u00e9e du Nord proviennent probablement des obstacles op\u00e9rationnels am\u00e9ricains, montrant l&#8217;agilit\u00e9 et la capacit\u00e9 des travailleurs de l&#8217;informatique \u00e0 s&#8217;adapter aux circonstances changeantes&#8221;, a d\u00e9clar\u00e9 Collier.<\/p>\n<p>&#8220;Une d\u00e9cennie de diverses cyberattaques pr\u00e9c\u00e8de la derni\u00e8re augmentation de la Cor\u00e9e du Nord &#8211; du ciblage rapide et des ransomwares \u00e0 la crypto-monnaie et au compromis de la cha\u00eene d&#8217;approvisionnement. Cette innovation implacable d\u00e9montre un engagement de longue date \u00e0 financer le r\u00e9gime gr\u00e2ce aux cyber-op\u00e9rations.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/lazarus-group-targets-job-seekers-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs de la menace nord-cor\u00e9enne derri\u00e8re une interview contagieuse ont adopt\u00e9 la tactique de l&#8217;ing\u00e9nierie sociale de Clickfix de plus en plus populaire pour attirer les demandeurs d&#8217;emploi dans le secteur de la crypto-monnaie pour offrir une porte d\u00e9rob\u00e9e au d\u00e9part sans papiers sans documentation appel\u00e9e Golangghost sur Windows et MacOS. La nouvelle activit\u00e9, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1609165,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,84,7087,258389,4168,79002,274264,4161,274263,6124,19453,5927,9886,133,293043,681,50570,65,4589,4590,274267,4160,185,238617,246491,4172,467,79016,196,4166,4164],"class_list":["post-1609164","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-avec","tag-cible","tag-clickfix","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-demandeurs","tag-demploi","tag-deployer","tag-des","tag-golangghost","tag-groupe","tag-lazarus","tag-les","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-tactique","tag-the-hacker-news","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1609164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1609164"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1609164\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1609165"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1609164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1609164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1609164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}