Specialiștii în securitate informatică de la Bitdefender au analizat o tentativă eșuată de „recrutare” pe LinkedIn, în care atacatorii au făcut o greșeală: au contactat tocmai un cercetător Bitdefender, care le-a descoperit rapid planul fraudulos.
Totul începe cu un mesaj atrăgător: o oportunitate de a colabora la o platformă de schimb de criptomonede descentralizată. Detaliile sunt vagi, însă promisiunea unui job flexibil, remote și bine plătit poate atrage victime ușor de păcălit. Versiuni similare ale acestei escrocherii au fost observate și în alte domenii, precum turismul sau finanțele.
Dacă victima își arată interesul, „procesul de recrutare” continuă cu solicitarea unui CV sau a unui link către un repository GitHub personal. Deși aceste cereri par inofensive, acestea pot fi folosite pentru a colecta informații personale sau pentru a face interacțiunea să pară legitimă.
După ce obține informațiile dorite, atacatorul trimite un set de fișiere ce conține așa-numitul „Minimum Viable Product” (MVP) al proiectului, împreună cu un document cu întrebări care pot fi rezolvate doar prin rularea unui demo. La prima vedere, codul pare inofensiv. Însă, o analiză mai atentă dezvăluie un script ascuns și dificil de descifrat, care încarcă și rulează dinamic cod periculos de pe un server extern.
Cercetătorii Bitdefender au descoperit o amenințare informatică de tip info-stealer, capabilă să infecteze Windows, macOS și Linux și să colecteze datele asociate unor game largi de portofele de criptomonede și extensii de browser. Odată activată, amenințarea informatică instalată pe sistem poate să întreprindă următoarele acțiuni:
• Fură fișiere importante din extensiile vizate ale browserului
• Colectează datele de autentificare stocate în browser
• Sustrage informațiile către un server controlat de atacatori.
După compromiterea inițială, amenințarea informatică inițiază o serie de acțiuni suplimentare pentru a extinde atacul. Înregistrează apăsările de taste, monitorizează clipboard-ul și colectează informații despre sistem, inclusiv fișiere confidențiale și date de autentificare. De asemenea, menține o conexiune activă cu serverele atacatorilor, ceea ce le permite accesul neautorizat și sustragerea continuă a datelor.
În etapa finală, amenințarea informatică instalează componente suplimentare pentru a ocoli soluțiile de securitate și a comunica prin rețele anonime. Poate colecta informații despre dispozitiv, poate instala un backdoor pentru acces ulterior și, în unele cazuri, folosește resursele sistemului pentru a mina criptomonede.
Această campanie demonstrează complexitatea atacului, care combină multiple tehnici pentru a compromite atât utilizatorii obișnuiți, cât și organizațiile.
