Hacker Nordcoreani Utilizzano False Offerte di Lavoro su LinkedIn

Gli attori della minaccia nordcoreana hanno utilizzato LinkedIn per prendere di mira gli sviluppatori attraverso finti schemi di reclutamento lavorativo, come riportato oggi da Hacker News. Gli aggressori utilizzano i test di codifica come metodo iniziale per infettare le vittime, come evidenziato in un rapporto di Mandiant, di proprietà di Google.

Gli schemi a tema reclutamento nordcoreano sono stati ampiamente utilizzati per distribuire malware, tra cui false app di videoconferenza, prendendo di mira i cercatori di lavoro su piattaforme come LinkedIn e Upwork. Dopo aver stabilito un primo contatto, gli hacker guidano le vittime a scaricare software dannosi tramite app di messaggistica come Telegram.

I ricercatori di Mandiant hanno spiegato che i recenti furti nelle piattaforme di scambio di criptovalute sono collegati a un più ampio schema di ingegneria sociale. In questi schemi, gli sviluppatori vengono contattati sotto il pretesto di offerte di lavoro.

Essi mostrano un esempio di un ingegnere a cui è stato inviato un file ZIP contenente un malware travestito da sfida di programmazione in Python, compromettendo il sistema macOS dell’utente con un malware secondario. Questo malware è persistito attraverso gli agenti di avvio del macOS, mettendo ulteriormente a rischio il sistema dell’utente.

Queste tattiche non sono limitate agli sviluppatori. Anche i professionisti della finanza sono stati presi di mira. In un altro incidente, Mandiant ha osservato un PDF malevolo inviato come parte di un’offerta di lavoro fasulla per una posizione di alto livello presso uno scambio di criptovalute.

Il PDF ha installato RUSTBUCKET, un malware backdoor che raccoglie dati di sistema ed esegue file. È rimasto attivo fingendosi un “Aggiornamento Safari” e si è collegato a un server di comando e controllo.

Secondo il FBI, questi tipi di attacchi informatici sono attentamente pianificati. Gli hacker utilizzano informazioni personali e costruiscono un rapporto con le vittime per rendere i loro schemi più convincenti. Una volta stabilito il contatto, gli aggressori possono trascorrere molto tempo interagendo con i loro obiettivi per instaurare fiducia.

Per mitigare questi rischi, l’FBI suggerisce di verificare le identità dei contatti attraverso diverse piattaforme, evitare di memorizzare le informazioni del portafoglio di criptovalute su dispositivi connessi a internet e utilizzare macchine virtuali per qualsiasi test pre-assunzione. Consigliano inoltre di bloccare i download non autorizzati e limitare l’accesso alle informazioni sensibili.

Se sospetti che la tua azienda sia stata presa di mira, l’FBI consiglia di scollegare i dispositivi interessati da internet e di presentare un reclamo dettagliato al Centro di denuncia dei reati informatici dell’FBI.