Lazarus-Gruppe nutzt ClickFix-Taktik zur Verbreitung von GolangGhost-Malware

MÜNCHEN (IT BOLTWISE) – Die berüchtigte Lazarus-Gruppe, bekannt für ihre Cyberangriffe, hat eine neue Taktik entwickelt, um Jobanwärter im Kryptowährungssektor zu täuschen und eine bisher unbekannte Go-basierte Hintertür namens GolangGhost auf Windows- und macOS-Systemen zu installieren.

Die nordkoreanischen Bedrohungsakteure hinter der Kampagne ‘Contagious Interview’ haben die zunehmend beliebte ClickFix-Taktik übernommen, um Jobsuchende im Kryptowährungssektor zu täuschen. Diese Methode wird genutzt, um eine bisher nicht dokumentierte Go-basierte Hintertür namens GolangGhost auf Windows- und macOS-Systemen zu installieren. Die neue Aktivität, die als Fortsetzung der Kampagne angesehen wird, wurde von der französischen Cybersicherheitsfirma Sekoia als ClickFake Interview bezeichnet.

Contagious Interview, auch bekannt als DeceptiveDevelopment, DEV#POPPER und Famous Chollima, ist seit mindestens Dezember 2022 aktiv, obwohl sie erst Ende 2023 öffentlich dokumentiert wurde. Die Kampagne nutzt legitime Jobinterview-Websites, um die ClickFix-Taktik zu nutzen und Windows- sowie macOS-Hintertüren zu installieren. Die Forscher von Sekoia, Amaury G., Coline Chavane und Felix Aimé, führen die Bemühungen auf die berüchtigte Lazarus-Gruppe zurück, die dem Aufklärungsbüro der Demokratischen Volksrepublik Korea zugeschrieben wird.

Ein bemerkenswerter Aspekt der Kampagne ist, dass sie sich hauptsächlich auf zentralisierte Finanzunternehmen konzentriert, indem sie Unternehmen wie Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood und Bybit imitiert. Dies markiert eine Abkehr von den Angriffen der Hackergruppe auf dezentrale Finanzunternehmen. Contagious Interview, ähnlich wie Operation Dream Job, verwendet gefälschte Jobangebote als Köder, um potenzielle Ziele anzulocken und sie dazu zu bringen, Malware herunterzuladen, die Kryptowährungen und andere sensible Daten stehlen kann.

Als Teil der Bemühungen werden Kandidaten über LinkedIn oder X kontaktiert, um sich auf ein Videointerview vorzubereiten, für das sie aufgefordert werden, eine mit Malware versehene Videokonferenzsoftware oder ein Open-Source-Projekt herunterzuladen, das den Infektionsprozess aktiviert. Die Verwendung der ClickFix-Taktik durch die Lazarus-Gruppe wurde erstmals Ende 2024 von Sicherheitsforscher Taylor Monahan offengelegt, wobei die Angriffsketten zur Bereitstellung einer Malware-Familie namens FERRET führen, die dann die Golang-Hintertür liefert.

In dieser Iteration der Kampagne werden die Opfer aufgefordert, einen angeblichen Video-Interview-Service namens Willo zu besuchen und eine Video-Bewertung von sich selbst abzuschließen. Das gesamte Setup, sorgfältig gestaltet, um das Vertrauen der Benutzer zu gewinnen, verläuft reibungslos, bis der Benutzer aufgefordert wird, seine Kamera zu aktivieren. An diesem Punkt erscheint eine Fehlermeldung, die darauf hinweist, dass der Benutzer einen Treiber herunterladen muss, um das Problem zu beheben. Hier kommt die ClickFix-Technik zum Einsatz.

Die Anweisungen, die dem Opfer gegeben werden, um den Zugriff auf die Kamera oder das Mikrofon zu ermöglichen, variieren je nach verwendetem Betriebssystem. Unter Windows werden die Ziele aufgefordert, die Eingabeaufforderung zu öffnen und einen Curl-Befehl auszuführen, um eine Visual Basic Script (VBS)-Datei auszuführen, die dann ein Batch-Skript startet, um GolangGhost auszuführen. Wenn das Opfer die Seite von einem macOS-Gerät aus besucht, wird es ähnlich aufgefordert, die Terminal-App zu starten und einen Curl-Befehl auszuführen, um ein Shell-Skript auszuführen.

Das bösartige Shell-Skript seinerseits führt ein zweites Shell-Skript aus, das wiederum ein Stealer-Modul namens FROSTYFERRET (auch bekannt als ChromeUpdateAlert) und die Hintertür ausführt. FROSTYFERRET zeigt ein gefälschtes Fenster an, das besagt, dass der Chrome-Webbrowser Zugriff auf die Kamera oder das Mikrofon des Benutzers benötigt, woraufhin es eine Eingabeaufforderung zur Eingabe des Systempassworts anzeigt. Die eingegebenen Informationen, unabhängig davon, ob sie gültig sind oder nicht, werden an einen Dropbox-Standort exfiltriert, was wahrscheinlich auf einen Versuch hinweist, mit dem gestohlenen Passwort auf den iCloud-Schlüsselbund zuzugreifen.

GolangGhost ist so konzipiert, dass es die Fernsteuerung und den Datendiebstahl durch mehrere Befehle erleichtert, die es ihm ermöglichen, Dateien hoch- und herunterzuladen, Hostinformationen zu senden und Webbrowser-Daten zu stehlen. Es wurde festgestellt, dass alle Positionen nicht mit technischen Profilen in der Softwareentwicklung zusammenhängen. Sie sind hauptsächlich Jobs von Managern, die sich auf Geschäftsentwicklung, Asset Management, Produktentwicklung oder Spezialisten für dezentrale Finanzen konzentrieren.

Dies ist eine signifikante Änderung gegenüber früher dokumentierten Kampagnen, die nordkoreanischen Bedrohungsakteuren zugeschrieben werden und auf gefälschten Jobinterviews basieren, die hauptsächlich Entwickler und Softwareingenieure ins Visier nahmen. Die Entwicklung kommt zu einem Zeitpunkt, an dem die Google Threat Intelligence Group (GTIG) einen Anstieg des betrügerischen IT-Arbeiter-Schemas in Europa beobachtet hat, was auf eine signifikante Erweiterung ihrer Operationen über die Vereinigten Staaten hinaus hinweist.

Die IT-Arbeiter-Aktivität beinhaltet nordkoreanische Staatsangehörige, die sich als legitime Remote-Arbeiter ausgeben, um Unternehmen zu infiltrieren und illegale Einnahmen für Pjöngjang zu generieren, was gegen internationale Sanktionen verstößt. Die erhöhte Aufmerksamkeit für die Aktivität, zusammen mit den Anklagen des US-Justizministeriums, hat eine “globale Expansion der IT-Arbeiter-Operationen” ausgelöst, so Google, das mehrere gefälschte Personas aufgedeckt hat, die in verschiedenen Organisationen in Deutschland und Portugal nach Arbeit suchen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!