正文

黑客通过虚假面试手段,诱骗开发人员感染上跨平台恶意软件

admin
admin V管理员 /0 评论 /44 阅读
1022
此篇文章发布距今已超过32天,您需要注意文章的内容或图片是否可用!

2024 年 10 月 21 日,确凿证据表明,与朝鲜有关联的威胁组织正把目标对准科技行业的求职者,向他们传播 BeaverTail 和 InvisibleFerret 这两个已知恶意软件家族的最新版本。在 2023 年 11 月首次追踪到的 “Contagious Interview”(传染性面试)行动中,这些威胁组织借助求职平台,伪装成潜在雇主,与软件开发人员建立联系。这一情况引发了广泛关注,也给科技行业的安全带来了新的挑战。

▌恶意软件在线面试陷阱

攻击者常常会主动邀请受害者参加在线面试,在面试期间,他们会采用各种方法试图说服受害者下载并安装恶意软件。

在感染的第一阶段,会出现 BeaverTail 下载器和信息窃取器。这款恶意软件经过精心的设计,专门针对 Windows 和 Apple macOS 这两个常见的操作系统平台。它的主要功能是充当基于 Python 的 InvisibleFerret 后门程序的传输通道,为后续的恶意行为做好铺垫。

有充足的证据显示,即便该活动已经被公开披露,引起了一定程度的关注,但它依旧处于活跃状态。这一情况清楚地表明,该行动背后的威胁组织仍然在持续不断地取得成功。他们主要通过诱导开发人员以编程任务为借口执行恶意代码,从而实现其不可告人的目的。

▌Contagious Interview 攻击链及新版恶意软件分析

该攻击链通过假冒的 Windows 和 macOS 视频会议软件(伪装成 MiroTalk 和 FreeConference.com 等知名品牌),对开发者系统进行渗透,并植入 BeaverTail 和 InvisibleFerret 恶意软件。

在“Contagious Interview”(传染性面试)行动中,其整体作案手法或许因持续有效而被沿用。尽管该行动已被广泛报道并深入分析,但社会工程学技巧,例如伪装成招聘人员,依旧极具欺骗性,特别是对于那些不熟悉此类威胁,或者在求职过程中可能忽视基本安全措施的人而言。攻击者利用专业环境中的信任和紧迫感,成功创造出一种可靠的方法来获取受害者的设备访问权限。

最新版本的恶意软件采用 Qt 框架进行开发,而 Qt 支持 Windows 和 macOS 的跨平台编译。这就意味着,基于 Qt 的 BeaverTail 版本功能更加强大,它不仅能够窃取浏览器密码,还能从多个加密货币钱包中收集数据。

▌朝鲜恶意软件经济动机推测

该行动战术缺乏变化的另一原因,或许在于他们推出了一种新版本恶意软件,即现采用 Qt 框架编写的 BeaverTail。这款恶意软件具有更强的隐蔽性,更难被察觉,同时支持 macOS 和 Windows 两大平台。这使得攻击者能够继续沿用之前的攻击手段,如假冒求职面试和伪装招聘人员,在更广泛的受害者和设备上展开攻击,而无需对行动机制进行重大调整。

BeaverTail 的功能并非仅仅是将数据泄露至敌对势力控制的服务器,它还能够下载并执行名为 InvisibleFerret 的后门程序。该后门程序包含两大组件:其一为核心有效载荷,可对受感染主机进行指纹识别、实施远程控制、进行键盘记录、泄露数据以及下载 AnyDesk 软件;其二是浏览器窃取器,专门用于收集浏览器凭证及信用卡信息。

据相关分析,朝鲜背景的威胁组织可能为筹集资金为目标,会实施金融犯罪。鉴于 BeaverTail 恶意软件具备窃取 13 种不同加密货币钱包的能力,因此可以推测该行动可能源于其经济动机。

▌结语

在当今数字化时代,恶意软件的威胁日益严峻。我们看到了与朝鲜有关联的威胁组织利用求职平台,通过 “传染性面试” 行动计划传播恶意软件,给科技行业带来了巨大的安全挑战。从攻击链的分析到恶意软件的功能剖析,再到对其经济动机的推测,我们深刻认识到恶意软件的复杂性和危害性。但其实不是仅只有这样背景的威胁组织会使用这种方式,任何其他背景或形态的组织都可能会使用此种行之有效的社工方式。

面对这些威胁,我们需要高度警惕,加强安全意识,在求职等过程中不轻易下载和安装不明来源的软件。同时,企业和机构也应加强安全防护措施,提高对恶意软件的识别和防范能力。

塞讯验证作为国内网络安全度量验证平台开创者,致力于利用第一手的受害者威胁情报赋能组织现有的安全防御体系,实现有效的网络安全提前布防,为守护数字安全贡献力量。

如需了解更多关于塞讯安全度量验证平台的信息,欢迎拨打官方电话 400-860-6366 或发送邮件至 [email protected] 联系我们。您也可以扫描下方二维码添加官方客服,我们将竭诚为您服务。

用持续验证   建长久安全

长按图片扫码添加【官方客服】

塞讯验证是国内网络安全度量验证平台开创者,致力于利用第一手的受害者威胁情报赋能组织现有的安全防御体系,实现有效的网络安全提前布防

塞讯安全度量验证平台以攻击者视角出发,针对企业的安全防御体系,自动化执行真实的APT攻击场景,分析完整的攻杀链中所产生的告警、审计、操作等所有相关日志,发现安全防御短板,精准定位安全设备、流程和人员等各方面的弱点,基于实际数据提供可落地的缓解、修复或修补建议。

核心团队均来自于全球知名网络安全公司和APT研究机构,拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州,致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构,服务可覆盖全国各个角落。

▶▶关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯

▶▶关注【塞讯业务可观测】,了解最前沿的业务可观测性和IT运营相关技术、观点及趋势


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com