İnformasiya təhlükəsizliyi sahəsində lider olan ESET saxta iş yerləri kimi gizlədilmiş zərərli casus proqram təminatının yayılmasını aşkar edib.
Hit.az xəbər verir ki, zərərli fəaliyyət kriptovalyuta pul kisəsi məlumatlarını, həmçinin brauzerlərdən və parol menecerlərindən hesab məlumatlarını oğurlamaq məqsədi ilə müstəqil tərtibatçıları hədəf alır.
Xüsusilə, kibercinayətkarlar özlərini İT şirkətinin işə götürənləri kimi təqdim edərək, sınaq layihələri adı altında casus proqram təminatı olan faylları namizədlərə göndəriblər.
Bunun üçün təcavüzkarlar LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight və Crypto Jobs List kimi platformalardan istifadə ediblər.
Təcavüzkarların fəaliyyətləri qurbanları seçməkdə coğrafi qanunauyğunluqlara əməl etmir, onlar vəsaitlərin və məlumatların uğurla oğurlanması ehtimalını artırmaq üçün mümkün qədər çox cihaza güzəştə gedirlər.
"Saxta müsahibələrin bir hissəsi olaraq, potensial qurbanların bir kodlaşdırma test tapşırığını, mövcud bir layihəyə bir xüsusiyyət əlavə etmək üçün tələb olunan sənədlər, bu sənədlər həqiqətən də bu fayllar, bu fayllar, qurbanın kompüterinə güzəştə gedir", deyə ESET-də Maej Havraneki izah edib.
ESET tədqiqatçılarının DeceptiveDevelopment adlandırdıqları bu fəaliyyət Şimali Koreya ilə bağlıdır, lakin heç bir məlum təhlükə ilə əlaqələndirilə bilməz. DeceptiveDevelopment əsasən Windows, Linux və macOS proqram tərtibatçılarını hədəfləyir. Cinayətkarlar kriptovalyuta oğurluğu ilə ilk növbədə maliyyə mənfəəti üçün, eləcə də mümkün ikinci dərəcəli kibercasusluq məqsədi ilə məşğul olurlar.
Təcavüzkarlar işə götürən kimi görünmək üçün mövcud profilləri kopyalayır, saxta şəxsiyyətlər yaradır və ya real insanların sındırılmış hesablarından istifadə edirlər. Daha sonra ya iş axtarışı və sərbəst platformalarda potensial qurbanlara birbaşa müraciət edirlər, ya da orada saxta iş elanları yerləşdirirlər.
DeceptiveDevelopment hücumçuları əməliyyatlarının bir hissəsi kimi ilk növbədə iki zərərli proqram ailəsindən istifadə edir və onları iki mərhələdə yerləşdirirlər. Birinci mərhələdə sadə giriş oğurluğu kimi işləyən və saxlanmış etimadnamələri ehtiva edən brauzer verilənlər bazası əldə edən BeaverTail istifadə olunur. İkinci mərhələdə casus proqram və arxa qapı komponentlərini özündə birləşdirən InvisibleFerret yükləyicisindən istifadə edilir və həmçinin, güzəştdən sonrakı hərəkətlər üçün qanuni AnyDesk uzaqdan idarəetmə və monitorinq proqram təminatını yükləməyə qadirdir.
"DeceptiveDevelopment, Şimali Koreya ilə əlaqəli kibercinayətkarlar tərəfindən istifadə edilən pul qazanma sxemlərinin onsuz da geniş siyahısına əlavə olunur və həmçinin diqqətin ənənəvi puldan kriptovalyutalara keçməsi tendensiyası ilə uyğun gəlir", deyə ESET-in tədqiqatçısı Maej Havranek yekunlaşdırır.
Samir
