تستهدف حملة واسعة النطاق للأمن السيبراني تسمى "المقابلة المعدية" بقيادة قراصنة كوريين شماليين متخصصي تكنولوجيا المعلومات والقطاعات الحساسة من خلال عروض عمل مزيفة.
اكتشف باحثو شركة NTT Security Japan مؤخرًا حملة جديدة للبرامج الضارة من نوع Lazarus، والتي تتوسع الآن لتشمل أنواعًا جديدة من البرامج الضارة. وتقوم المجموعة، المعروفة بعلاقاتها مع حكومة كوريا الشمالية، بتنظيم هذه العملية منذ عام 2022. وتتكون طريقتهم من إنشاء ملفات تعريف مزيفة على شبكات التواصل الاجتماعي المهنية وتقديم فرص عمل مغرية،بشكل رئيسي في مجالات الدفاع والفضاء والعملات المشفرة.
يقدم التطور الأخير لهذه الحملة برنامجًا ضارًا جديدًا يسمى "OtterCookie". هذه الأداة الخبيثة قادرة علىجمع معلومات النظام، لسرقة البيانات الحساسة (خاصة مفاتيح محفظة التشفير)والتقاط المعلومات المخزنة في حافظات الضحايا.
اقرأ أيضا-يستغل هؤلاء المتسللون الكوريون الشماليون المشهورون ثغرة أمنية في Chrome عبر لعبة عملة مشفرة مزيفة
لقد عاد لعازر ووجد بالفعل ضحايا جدد
وفي الوقت نفسه، حددت Kaspersky متغيرين آخرين: "CookieTime" و"CookiePlus". يعمل CookieTime كباب خلفي يسمح للمهاجمين بتنفيذ الأوامر عن بعد، بينما يعمل CookiePlus الأحدث كنظام معياري لتنزيل برامج ضارة إضافية.
ويشير الباحثون إلى أن هذه الحملة تسببت بالفعل في أضرار جسيمة.ونجحت مجموعة Lazarus بشكل ملحوظ في سرقة حوالي 600 مليون دولار من إحدى شركات العملات المشفرة في عام 2022.
طريقة العمل معقدة للغاية: يبدأ المجرمون الاتصال عبر LinkedIn أو X (Twitter سابقًا)، ثم ينظمون عدة جولات من المقابلات. خلال هذه التبادلات، يحاولون إصابة أنظمة الضحايا إما عن طريق تثبيت البرامج الضارة مباشرة، أوأو عن طريق أدوات الوصول عن بعد المخترقة.
يوصي خبراء الأمن السيبراني بزيادة اليقظة تجاه عروض العمل غير المرغوب فيها، خاصة في القطاعات الحساسة. من المستحسن أنالتحقق بعناية من صحة المجندينوتجنب تنزيل الملفات من مصادر لم يتم التحقق منها أثناء عمليات التوظيف. ستستمر هذه الحملة الخبيثة بالفعل ثلاث سنوات، لذلك من المحتمل أن يكون هناك العديد من الضحايا حتى كتابة هذه السطور.