Producatorul global de solutii de securitate informatica Bitdefender avertizeaza asupra unei campanii active desfasurate de gruparea Lazarus, asociata Coreei de Nord, care vizeaza organizatii si foloseste oferte false de angajare pe LinkedIn pentru a fura credentiale de acces si a distribui amenintari informatice. 

LinkedIn este o platforma pentru profesionisti si cei aflati in cautarea unui loc de munca, insa a devenit si un mediu prolific pentru infractorii cibernetici care profita de credibilitatea acestei retele de socializare. De la oferte de munca false si scheme complexe de inselatorii, pana la escrocherii si atacuri derulate de actori statali, reteaua este exploatata pentru a manipula aspiratiile profesionale si increderea utilizatorilor. Pentru a ilustra aceste riscuri, specialistii in securitate informatica de la Bitdefender au analizat o tentativa esuata de „recrutare" pe LinkedIn, in care atacatorii au facut o greseala: au contactat tocmai un cercetator Bitdefender, care le-a descoperit rapid planul fraudulos. 

 

Totul incepe cu un mesaj atragator: o oportunitate de a colabora la o platforma de schimb de criptomonede descentralizata. Detaliile sunt vagi, insa promisiunea unui job flexibil, remote si bine platit poate atrage victime usor de pacalit. Versiuni similare ale acestei escrocherii au fost observate si in alte domenii, precum turismul sau finantele. 

Daca victima isi arata interesul, „procesul de recrutare" continua cu solicitarea unui CV sau a unui link catre un repository GitHub personal. Desi aceste cereri par inofensive, acestea pot fi folosite pentru a colecta informatii personale sau pentru a face interactiunea sa para legitima. 

 

Dupa ce obtine informatiile dorite, atacatorul trimite un set de fisiere ce contine asa-numitul "Minimum Viable Product" (MVP) al proiectului, impreuna cu un document cu intrebari care pot fi rezolvate doar prin rularea unui demo. La prima vedere, codul pare inofensiv. Insa, o analiza mai atenta dezvaluie un script ascuns si dificil de descifrat, care incarca si ruleaza dinamic cod periculos de pe un server extern. 

 

Cercetatorii Bitdefender au descoperit o amenintare informatica de tip info-stealer, capabila sa infecteze Windows, macOS si Linux si sa colecteze datele asociate unor game largi de portofele de criptomonede si extensii de browser. Odata activata, amenintarea informatica instalata pe sistem poate sa intreprinda urmatoarele actiuni: 

Dupa compromiterea initiala, amenintarea informatica initiaza o serie de actiuni suplimentare pentru a extinde atacul. Inregistreaza apasarile de taste, monitorizeaza clipboard-ul si colecteaza informatii despre sistem, inclusiv fisiere confidentiale si date de autentificare. De asemenea, mentine o conexiune activa cu serverele atacatorilor, ceea ce le permite accesul neautorizat si sustragerea continua a datelor. 

In etapa finala, amenintarea informatica instaleaza componente suplimentare pentru a ocoli solutiile de securitate si a comunica prin retele anonime. Poate colecta informatii despre dispozitiv, poate instala un backdoor pentru acces ulterior si, in unele cazuri, foloseste resursele sistemului pentru a mina criptomonede. 

Aceasta campanie demonstreaza complexitatea atacului, care combina multiple tehnici pentru a compromite atat utilizatorii obisnuiti, cat si organizatiile. 

 

Analiza tacticilor si a codului periculos indica o amenintare derulata de un actor statal, cel mai probabil gruparea Lazarus (APT 38) din Coreea de Nord. Acesti atacatori nu sunt motivati doar de furtul de date personale. Ei vizeaza persoane din industrii critice – aviatie, aparare, energie nucleara – pentru a obtine acces la informatii clasificate, secrete comerciale si date de acces ale companiilor. Intr-un scenariu mai grav, rularea acestui malware pe un dispozitiv dintr-o retea de companie ar putea compromite infrastructura intregii organizatii. Gruparea Lazarus nu se limiteaza doar la escrocherii de recrutare. Au fost detectate tentative in care atacatorii se dau drept specialisti IT si aplica pentru joburi reale, dupa care infiltreaza infrastructurile companiilor pentru a sustrage date sensibile. 

 

Pe masura ce platformele sociale devin tot mai frecvent folosite pentru activitati periculoase, vigilenta este esentiala. Iata cateva semnale de alarma si masuri de protectie: 

Semnale de alarma: 

Cele mai bune practici: 

Ideal ar fi sa nu executati niciodata cod sursa necunoscut pe dispozitivele de serviciu si sa folositi medii virtuale sau sandbox-uri atunci cand testati astfel de coduri pe computerul personal. Chiar daca acest lucru presupune un efort suplimentar, poate preveni scurgeri de date si utilizarea acestora in scopuri periculoase. 

 

Solutiile de securitate Bitdefender ofera protectie avansata impotriva tuturor tipurilor de amenintari cibernetice, inclusiv virusi, malware, spyware, ransomware si atacuri sofisticate de phishing. 

Pentru a combate escrocheriile online, Bitdefender pune la dispozitie Scamio, un serviciu de detectare a fraudelor bazat pe inteligenta artificiala. Utilizatorii pot verifica gratuit mesaje, linkuri, coduri QR sau imagini, iar Scamio analizeaza continutul pentru a determina daca face parte dintr-o inselatorie. Scamio este disponibil gratuit pe Facebook Messenger, WhatsApp, Discord si in browser. De asemenea, utilizatorii pot folosi Link Checker, un instrument gratuit care ajuta la verificarea sigurantei linkurilor si protejeaza astfel dispozitivele, datele si identitatea impotriva atacurilor cibernetice. 

Cercetarea completa e disponibila aici