استفاده از دو بدافزار به‌روزشده در کلاهبرداری‌های کره شمالی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در گزارشی که روز چهارشنبه توسط واحد 42 شرکت پالو آلتو نتوورکس (Palo Alto Networks) منتشر شد، کلاهبرداری‌ای که در نوامبر 2023 کشف شد، مورد توجه قرار گرفت.

در این کلاهبرداری، عوامل تهدید وابسته به جمهوری دموکراتیک خلق کره (DPRK) به عنوان استخدام‌کننده‌های جعلی ظاهر می‌شوند تا قربانیان را فریب دهند و آن‌ها را به دانلود بدافزارهای بیورتیل (BeaverTail) و درب پشتی اینویزیبل فرت (InvisibleFerret) تشویق کنند.

محققان بیان کردند:

عامل تهدید از طریق پلتفرم‌های جستجوی شغل با توسعه‌دهندگان نرم‌افزار تماس می‌گیرد و خود را به عنوان یک کارفرمای احتمالی معرفی می‌کند. مهاجمان از قربانی دعوت می‌کنند تا در مصاحبه آنلاین شرکت کند، جایی که سعی دارند او را متقاعد کنند تا بدافزار را دانلود و نصب کند.

بدافزار بیورتیل که اولین بدافزاری است که در این کمپین ارائه می‌شود، روی هر دو پلتفرم سیستم عامل مک و ویندوز کار می‌کند.

هکرها این بدافزار را از طریق فایل‌هایی که شبیه به برنامه تماس ویدیویی واقعی میروتاک (MiroTalk) و سرویس تماس کنفرانسی فری کنفرانس (FreeConference) هستند، منتشر می‌کنند.

از ماه ژوئیه، واحد 42 نسخه‌های جدیدی از بیورتیل مشاهده کرد که داده‌ها را بدون آگاهی قربانی جمع‌آوری و به بیرون ارسال می‌کند.

این بدافزار رمزهای عبور مرورگر و اعتبارنامه‌های مربوط به کیف پول‌های ارز دیجیتال را سرقت می‌کند، چیزی که محققان آن را همسو با منافع مالی مداوم عوامل تهدید کره شمالی دانستند.

نسخه جدید بیورتیل اکنون ۱۳ افزونه مختلف مرورگر برای کیف‌پول‌های ارز دیجیتال را هدف قرار می‌دهد، در حالی که در نسخه جاوا اسکریپت قبلی، تنها ۹ کیف پول مورد هدف بود.

واحد 42 شواهدی در شبکه‌های اجتماعی مانند ایکس (X) و ردیت (Reddit) پیدا کرد که نشان می‌دهد افراد دیگری نیز فعالیت‌های مشابهی را مشاهده کرده‌اند.

نوع دوم بدافزار، اینویزیبل فرت، یک درب پشتی است که ضربه‌های صفحه کلید را ثبت می‌کند، فایل‌های حساس را به بیرون ارسال می‌کند و ابزار انی دسک (AnyDesk) را دانلود می‌کند که به هکرها اجازه می‌دهد کنترل از راه دور دستگاه را به دست گیرند.

این بدافزار همچنین اعتبارنامه‌های مرورگر و اطلاعات کارت اعتباری را می‌دزدد.

محققان اظهار کردند:

با بررسی جدیدترین نسخه‌های اینویزیبل فرت که در این کمپین طی سال گذشته به کار رفته، تغییرات جزئی در کد مشاهده کردیم. اگرچه عملکرد کلی آن تقریباً یکسان باقی مانده، این تغییرات نشان می‌دهد که نویسندگان بدافزار به طور فعال روی کد آن کار می‌کنند.

این کلاهبرداری بخشی از ده‌ها کمپین است که از کره شمالی اجرا می‌شود و هدف آن یا استخدام هکرها در شرکت‌ها یا تلاش برای نفوذ به دستگاه‌های شرکت‌های بزرگ فناوری است.

در این کمپین، هکرهای کره شمالی معمولاً افراد را در پلتفرم لینکداین (LinkedIn) هدف قرار می‌دهند و واحد 42 اشاره کرد که ممکن است هدف دیگر این باشد که پس از استخدام افراد در شرکت‌های دیگر، همچنان به اطلاعات دسترسی داشته باشند.

محققان نسبت به خطرات نصب این بدافزارها روی دستگاه‌های شرکتی هشدار دادند.

محققان امنیت سایبری و نهادهای دولتی در ماه‌های اخیر توجه بیشتری به فعالیت‌های سایبری کره شمالی داشته‌اند، زیرا این کشور حملات خود را افزایش داده است.

اکثر این حملات با هدف تأمین مالی برنامه موشکی این کشور انجام می‌شوند.