Napad, koji su otkrili istraživači iz Unit 42 kompanije Palo Alto Networks, i koji je deo kampanje CL-STA-240 Contagious Interview, počinje na platformama kao što su LinkedIn i X (bivši Twitter), a napadači se žrtvama predstavljaju kao poslodavci.

Kampanja je prvi put primećena u novembru 2023. godine, i od tada je evoluirala, a pojavile su se i nove verzije malvera.

shutterstock LinkedIn  (3).jpg
Shutterstock 

Istraživači iz Unit 42 otkrili su novi malver, downloader, BeaverTail, koji omogućava napadačima da ga koriste i na macOS i na Windows sistemima. Pored toga, ažuriran je i kod backdoora InvisibleFerret, koji omogućava dalju kontrolu zaraženih uređaja.

Malver BeaverTail se distribuira preko fajlova maskiranih u legitimne aplikacije, kao što su MiroTalk i FreeConference. Tako se žrtve obmanjuju da instaliraju malver.

shutterstock-malver-3.jpg
Shutterstock 

Kada inficira sistem, BeaverTail radi u pozadini, kradući osetljive podatke kao što su lozinke iz pretraživača i informacije o novčaniku za kriptovalute. BeaverTail sada cilja 13 različitih ekstenzija novčanika za kriptovalute, a prethodna verzija je ciljala samo devet.

Napad se završava isporukom InvisibleFerret backdoora, koji se koristi za keylogging, eksfiltraciju fajlova, pa čak i preuzimanje softvera za daljinsko upravljanje kao što je AnyDesk.

shutterstock_any desk.jpg
Shutterstock 

„Važan rizik koji ova kampanja predstavlja je potencijalna infiltracija kompanija koje zapošljavaju one koji traže posao. Uspešna infekcija mogla bi da rezultira prikupljanjem i eksfiltracijom osetljivih informacija“, upozorava Unit 42.

Kompanija je takođe rekla da razvoj koda malvera ukazuje na to da napadači, za koje se veruje da su iz Severne Koreje i da su vođeni finansijskim motivima, aktivno usavršavaju svoje metode između novih talasa napada.

Izvor: Informacija/Kurir/Darko Mulic