MÜNCHEN (IT BOLTWISE) – Die berüchtigte Lazarus-Gruppe, bekannt für ihre Cyberangriffe, hat eine neue Taktik entwickelt, um Jobanwärter im Kryptowährungssektor zu täuschen und eine bisher unbekannte Go-basierte Hintertür namens GolangGhost auf Windows- und macOS-Systemen zu installieren.
Die nordkoreanischen Bedrohungsakteure hinter der Kampagne ‘Contagious Interview’ haben die zunehmend beliebte ClickFix-Taktik übernommen, um Jobsuchende im Kryptowährungssektor zu täuschen. Diese Methode wird genutzt, um eine bisher nicht dokumentierte Go-basierte Hintertür namens GolangGhost auf Windows- und macOS-Systemen zu installieren. Die neue Aktivität, die als Fortsetzung der Kampagne angesehen wird, wurde von der französischen Cybersicherheitsfirma Sekoia als ClickFake Interview bezeichnet.
Contagious Interview, auch bekannt als DeceptiveDevelopment, DEV#POPPER und Famous Chollima, ist seit mindestens Dezember 2022 aktiv, obwohl sie erst Ende 2023 öffentlich dokumentiert wurde. Die Kampagne nutzt legitime Jobinterview-Websites, um die ClickFix-Taktik zu nutzen und Windows- sowie macOS-Hintertüren zu installieren. Die Forscher von Sekoia, Amaury G., Coline Chavane und Felix Aimé, führen die Bemühungen auf die berüchtigte Lazarus-Gruppe zurück, die dem Aufklärungsbüro der Demokratischen Volksrepublik Korea zugeschrieben wird.
Ein bemerkenswerter Aspekt der Kampagne ist, dass sie sich hauptsächlich auf zentralisierte Finanzunternehmen konzentriert, indem sie Unternehmen wie Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood und Bybit imitiert. Dies markiert eine Abkehr von den Angriffen der Hackergruppe auf dezentrale Finanzunternehmen. Contagious Interview, ähnlich wie Operation Dream Job, verwendet gefälschte Jobangebote als Köder, um potenzielle Ziele anzulocken und sie dazu zu bringen, Malware herunterzuladen, die Kryptowährungen und andere sensible Daten stehlen kann.
Als Teil der Bemühungen werden Kandidaten über LinkedIn oder X kontaktiert, um sich auf ein Videointerview vorzubereiten, für das sie aufgefordert werden, eine mit Malware versehene Videokonferenzsoftware oder ein Open-Source-Projekt herunterzuladen, das den Infektionsprozess aktiviert. Die Verwendung der ClickFix-Taktik durch die Lazarus-Gruppe wurde erstmals Ende 2024 von Sicherheitsforscher Taylor Monahan offengelegt, wobei die Angriffsketten zur Bereitstellung einer Malware-Familie namens FERRET führen, die dann die Golang-Hintertür liefert.
In dieser Iteration der Kampagne werden die Opfer aufgefordert, einen angeblichen Video-Interview-Service namens Willo zu besuchen und eine Video-Bewertung von sich selbst abzuschließen. Das gesamte Setup, sorgfältig gestaltet, um das Vertrauen der Benutzer zu gewinnen, verläuft reibungslos, bis der Benutzer aufgefordert wird, seine Kamera zu aktivieren. An diesem Punkt erscheint eine Fehlermeldung, die darauf hinweist, dass der Benutzer einen Treiber herunterladen muss, um das Problem zu beheben. Hier kommt die ClickFix-Technik zum Einsatz.
Die Anweisungen, die dem Opfer gegeben werden, um den Zugriff auf die Kamera oder das Mikrofon zu ermöglichen, variieren je nach verwendetem Betriebssystem. Unter Windows werden die Ziele aufgefordert, die Eingabeaufforderung zu öffnen und einen Curl-Befehl auszuführen, um eine Visual Basic Script (VBS)-Datei auszuführen, die dann ein Batch-Skript startet, um GolangGhost auszuführen. Wenn das Opfer die Seite von einem macOS-Gerät aus besucht, wird es ähnlich aufgefordert, die Terminal-App zu starten und einen Curl-Befehl auszuführen, um ein Shell-Skript auszuführen.
Das bösartige Shell-Skript seinerseits führt ein zweites Shell-Skript aus, das wiederum ein Stealer-Modul namens FROSTYFERRET (auch bekannt als ChromeUpdateAlert) und die Hintertür ausführt. FROSTYFERRET zeigt ein gefälschtes Fenster an, das besagt, dass der Chrome-Webbrowser Zugriff auf die Kamera oder das Mikrofon des Benutzers benötigt, woraufhin es eine Eingabeaufforderung zur Eingabe des Systempassworts anzeigt. Die eingegebenen Informationen, unabhängig davon, ob sie gültig sind oder nicht, werden an einen Dropbox-Standort exfiltriert, was wahrscheinlich auf einen Versuch hinweist, mit dem gestohlenen Passwort auf den iCloud-Schlüsselbund zuzugreifen.
GolangGhost ist so konzipiert, dass es die Fernsteuerung und den Datendiebstahl durch mehrere Befehle erleichtert, die es ihm ermöglichen, Dateien hoch- und herunterzuladen, Hostinformationen zu senden und Webbrowser-Daten zu stehlen. Es wurde festgestellt, dass alle Positionen nicht mit technischen Profilen in der Softwareentwicklung zusammenhängen. Sie sind hauptsächlich Jobs von Managern, die sich auf Geschäftsentwicklung, Asset Management, Produktentwicklung oder Spezialisten für dezentrale Finanzen konzentrieren.
Dies ist eine signifikante Änderung gegenüber früher dokumentierten Kampagnen, die nordkoreanischen Bedrohungsakteuren zugeschrieben werden und auf gefälschten Jobinterviews basieren, die hauptsächlich Entwickler und Softwareingenieure ins Visier nahmen. Die Entwicklung kommt zu einem Zeitpunkt, an dem die Google Threat Intelligence Group (GTIG) einen Anstieg des betrügerischen IT-Arbeiter-Schemas in Europa beobachtet hat, was auf eine signifikante Erweiterung ihrer Operationen über die Vereinigten Staaten hinaus hinweist.
Die IT-Arbeiter-Aktivität beinhaltet nordkoreanische Staatsangehörige, die sich als legitime Remote-Arbeiter ausgeben, um Unternehmen zu infiltrieren und illegale Einnahmen für Pjöngjang zu generieren, was gegen internationale Sanktionen verstößt. Die erhöhte Aufmerksamkeit für die Aktivität, zusammen mit den Anklagen des US-Justizministeriums, hat eine “globale Expansion der IT-Arbeiter-Operationen” ausgelöst, so Google, das mehrere gefälschte Personas aufgedeckt hat, die in verschiedenen Organisationen in Deutschland und Portugal nach Arbeit suchen.
☕︎ Unterstützen Sie IT BOLTWISE® und treten Sie unserem exklusiven KI-Club bei - für nur 1,99 Euro pro Monat:
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Content Manager (m/w/d) KI Marketing InsurTech
Senior Consultant AI Governance, Compliance & Risk (m/w/d)
Bauprojektleiter Technische Gebäudeausrüstung (TGA) für KI- Rechenzentrumprojekte (m/w/d); HN oder B
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Lazarus-Gruppe nutzt ClickFix-Taktik zur Verbreitung von GolangGhost-Malware" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Lazarus-Gruppe nutzt ClickFix-Taktik zur Verbreitung von GolangGhost-Malware" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Lazarus-Gruppe nutzt ClickFix-Taktik zur Verbreitung von GolangGhost-Malware« bei Google Deutschland suchen, bei Bing oder Google News!