Hackerii vizează companii printr-o înşelătorie de recrutare pe LinkedIn, avertizează Bitdefender

Bitdefender a depistat o nouă metodă de atac asupra companiilor, prin intermediul ofertelor false de angajare postate pe platforma LinkedIn, după ce atacatorii au contactat tocmai un cercetător al companiei, astfel fiind descoperit rapid planul fraudulos.

Potrivit unui comunicat de presă, transmis marţi Agerpres, totul începe cu un mesaj atrăgător: o oportunitate de a colabora la o platformă de schimb de criptomonede descentralizată.

„Detaliile sunt vagi, însă promisiunea unui job flexibil, remote şi bine plătit poate atrage victime uşor de păcălit. Versiuni similare ale acestei escrocherii au fost observate şi în alte domenii, precum turismul sau finanţele. Dacă victima îşi arată interesul, „procesul de recrutare” continuă cu solicitarea unui CV sau a unui link către un repository GitHub personal. Deşi aceste cereri par inofensive, acestea pot fi folosite pentru a colecta informaţii personale sau pentru a face interacţiunea să pară legitimă (…) LinkedIn este o platformă pentru profesionişti şi cei aflaţi în căutarea unui loc de muncă, însă a devenit şi un mediu prolific pentru infractorii cibernetici care profită de credibilitatea acestei reţele de socializare. De la oferte de muncă false şi scheme complexe de înşelătorii, până la escrocherii şi atacuri derulate de actori statali, reţeaua este exploatată pentru a manipula aspiraţiile profesionale şi încrederea utilizatorilor”, se arată în comunicat.

Ulterior, după ce obţine informaţiile dorite, atacatorul trimite un set de fişiere ce conţine aşa-numitul „Minimum Viable Product” (MVP) al proiectului, împreună cu un document cu întrebări care pot fi rezolvate doar prin rularea unui demo.

„La prima vedere, codul pare inofensiv. Însă, o analiză mai atentă dezvăluie un script ascuns şi dificil de descifrat, care încarcă şi rulează dinamic cod periculos de pe un server extern (…) Odată activată, ameninţarea informatică instalată pe sistem poate să întreprindă următoarele acţiuni: fură fişiere importante din extensiile vizate ale browserului, colectează datele de autentificare stocate în browser, sustrage informaţiile către un server controlat de atacatori. După compromiterea iniţială, ameninţarea informatică iniţiază o serie de acţiuni suplimentare pentru a extinde atacul. Înregistrează apăsările de taste, monitorizează clipboard-ul şi colectează informaţii despre sistem, inclusiv fişiere confidenţiale şi date de autentificare. De asemenea, menţine o conexiune activă cu serverele atacatorilor, ceea ce le permite accesul neautorizat şi sustragerea continuă a datelor”, explică specialiştii.

Conform sursei citate, în etapa finală, ameninţarea informatică instalează componente suplimentare pentru a ocoli soluţiile de securitate şi a comunica prin reţele anonime.

„Analiza tacticilor şi a codului periculos indică o ameninţare derulată de un actor statal, cel mai probabil gruparea Lazarus (APT 38) din Coreea de Nord. Aceşti atacatori nu sunt motivaţi doar de furtul de date personale. Ei vizează persoane din industrii critice – aviaţie, apărare, energie nucleară – pentru a obţine acces la informaţii clasificate, secrete comerciale şi date de acces ale companiilor. Într-un scenariu mai grav, rularea acestui malware pe un dispozitiv dintr-o reţea de companie ar putea compromite infrastructura întregii organizaţii. Gruparea Lazarus nu se limitează doar la escrocherii de recrutare. Au fost detectate tentative în care atacatorii se dau drept specialişti IT şi aplică pentru joburi reale, după care infiltrează infrastructurile companiilor pentru a sustrage date sensibile”, notează producătorul de soluţii antivirus.

Ca urmare a acestor incidente, şi nu numai, experţii în securitate cibernetică recomandă vigilenţă în faţa unor situaţii precum: descrieri vagi ale jobului – lipsa unei postări oficiale pe platforma companiei; repositories suspecte – aparţin unor utilizatori cu nume aleatorii şi nu conţin documentaţie sau contribuţii relevante; comunicare slabă – greşeli frecvente de scriere şi refuzul de a oferi metode alternative de contact, cum ar fi e-mailul de companie sau numere de telefon.

De asemenea, alte sfaturi vizează următoarele: nu rulaţi cod neverificat – folosiţi maşini virtuale, sandbox-uri sau platforme online pentru a testa codul în siguranţă; verificaţi autenticitatea – comparaţi ofertele de muncă cu cele de pe site-urile oficiale ale companiilor şi verificaţi domeniile e-mailurilor; fiţi precauţi – analizaţi cu atenţie mesajele nesolicitate şi cererile de informaţii personale.

Bitdefender a fost fondată în anul 2001, oferă soluţii superioare de prevenţie, detecţie şi răspuns la incidente de securitate cibernetică, are clienţi în peste 170 de ţări şi birouri pe toate continentele.