20.10.2022 – 16.19 – Microsoft ha reso noto che gli hacker stanno utilizzando software open source e account di social media fasulli per ingannare gli ingegneri informatici e il personale di supporto IT con false offerte di lavoro che in realtà portano ad attacchi di malware.
Secondo gli analisti delle minacce del gruppo di ricerca APT (Advanced Persistent Threat) di Microsoft, una squadra di hacker legata alle forze armate della Corea del Nord ha utilizzato applicazioni con software open-source trojanizzati ed esche di reclutamento tramite Linkedin per colpire i dipendenti del settore tecnologico.
Le analisi compiute da Microsoft
In base a quanto indicato in un articolo del Microsoft Threat Intelligence Center (MSTIC, pronunciato “Mystic”), il gruppo di hacker ha utilizzato PuTTY, KiTTY, TightVNC, Sumatra PDF Reader e il programma di installazione del software muPDF/Subliminal Recording per sferrare numerosi attacchi.
Il gruppo di hacker ha preso di mira i dipendenti dei media, della difesa, del settore aerospaziale e di quelli dei servizi IT negli Stati Uniti, nel Regno Unito, in India e in Russia. Queste menti criminali erano anche dietro il massiccio attacco alla Sony Pictures Entertainment nel 2014.
Conosciuto anche come Lazarus e tracciato da Microsoft come ZINC, gli analisti delle minacce Mandiant di Google Cloud hanno visto gli obiettivi di spear-phishing di gruppo nei settori della tecnologia e dei media con offerte di lavoro fasulle a luglio, utilizzando WhatsApp per condividere un’istanza trojan di PuTTY.
La tattica prima utilizzata dagli attori ZINC è stata lo spear-phishing, tuttavia i ricercatori di Microsoft hanno osservato anche compromessi strategici di siti web e ingegneria social sui social media al fine di raggiungere i loro obiettivi.
L’attacco prende di mira i dipendenti di note aziende tentando di infiltrarsi nei loro dispositivi tramite l’installazione di programmi apparentemente innocui o con documenti contenenti macro dannose.
Il gruppo si occupa di spionaggio, furto di dati, hacking di scambi di criptovalute e sistemi bancari e distruzione di reti. È anche conosciuto come Labyrinth Chollima e Black Artemis.
Un team di sicurezza di LinkedIn, che è di proprietà di Microsoft, ha anche visto questi attori creare profili falsi per impersonare reclutatori di aziende nei settori della tecnologia, della difesa e dell’intrattenimento multimediale.
Falsi annunci di lavoro su LinkedIn e WhatsApp indirizzati al personale IT
Le vittime cadute nella trappola usando LinkedIn e WhatsApp, due piattaforme utilizzate per condividere malware, includevano personale IT e di supporto IT di aziende negli Stati Uniti, nel Regno Unito e in India, secondo Microsoft. Il gruppo di analisi delle minacce di Google (TAG) ha trovato il gruppo utilizzando Twitter, Discord, YouTube, Telegram, Keybase ed e-mail con tattiche simili lo scorso gennaio.
Gli attacchi ZINC erano rivolti principalmente a professionisti del settore IT che lavoravano presso società di media e tecnologia dell’informazione con sede nel Regno Unito, in India e negli Stati Uniti.
Gli obiettivi dell’attacco ricevevano dei contatti personalizzati in base alla loro professione o background ed erano incoraggiati a candidarsi per una posizione aperta in una delle numerose società legittime inviando, poi, un malware che veniva installato sui dispositivi delle vittime.
In conformità con le loro politiche, LinkedIn ha chiuso rapidamente tutti gli account associati a comportamenti non autentici o fraudolenti.
Come difendersi dagli annunci di lavoro falsi che contengono malware?
Questa non è la prima volta che gli hacker utilizzano annunci di lavoro falsi come un modo per rubare informazioni personali e dati aziendali. Per questo si dovrebbe fin da subito pensare alla propria sicurezza informatica generale e iniziare a utilizzare più strumenti di prevenzione, come una VPN gratuita.
Una VPN, infatti, crittografa tutto il tuo traffico e nasconde il tuo reale indirizzo IP permettendoti di mantenere al sicuro i tuoi dati. Inoltre, molti di questi servizi includono una funzionalità anti-malware che potrebbe essere molto utile in questa tipologia di scenari.
network
