Sahte iş teklifinin arkasından kripto para hırsızlığı çıkıyor

Siber güvenlik çözümlerinde dünya lideri ESET, birbirleriyle sıkı bağları olduğu düşünülen DeceptiveDevelopment tehdit grubu ve Kuzey Koreli BT çalışanlarının faaliyetlerine ilişkin ayrıntılı bir rapor yayımladı. Analiz edilen kampanyalar, sahte iş görüşmeleri ve ClickFix tekniği gibi sofistike sosyal mühendislik taktiklerine dayanarak kötü amaçlı yazılım dağıtmak ve kripto para birimlerini çalmak için kullanılıyor; olası bir ikincil hedef olarak siber casusluk da bulunuyor. ESET ayrıca sahte istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetlerine ışık tutan OSINT verilerini de analiz etti.   ESET Research, son yıllarda giderek daha aktif hâle gelen ve Kuzey Kore ile bağlantılı bir tehdit grubu olan Contagious Interview olarak da bilinen DeceptiveDevelopment hakkında yeni bulgular yayımladı. Grup, öncelikle kripto para hırsızlığına odaklanıyor; Windows, Linux ve macOS platformlarında çalışan serbest geliştiricileri hedef alıyor. Yeni yayımlanan araştırma makalesi, grubun ilk kötü amaçlı yazılım ailelerinden daha gelişmiş araç setlerine kadar geçirdiği evrimi izliyor. Bu kampanyalar, kötü amaçlı yazılımları dağıtmak ve kripto para birimlerini çalmak için sahte iş görüşmeleri ve ClickFix tekniği gibi sofistike sosyal mühendislik taktiklerine dayanıyor. ESET, sahte istihdam planlarına karışan Kuzey Koreli BT çalışanlarının faaliyetleri ve DeceptiveDevelopment ile olan bağlantıları hakkında bilgi veren açık kaynak istihbarat (OSINT) verilerini de analiz etti. Bulgular yıllık Virus Bulletin (VB) Konferansı'nda sunuldu.   DeceptiveDevelopment, en az 2023 yılından beri aktif olan; finansal kazanç odaklı, Kuzey Kore ile bağlantılı bir grup. Grup, Windows, Linux ve macOS gibi tüm büyük sistemlerdeki yazılım geliştiricileri ve özellikle kripto para birimi ve Web3 projelerinde çalışanları hedef alıyor. İlk erişim, ClickFix gibi çeşitli sosyal mühendislik teknikleri ve Lazarus'un Operation DreamJob operasyonuna benzer sahte işe alım profilleri aracılığıyla sahte iş görüşmeleri sırasında trojanize kod tabanları sunmak suretiyle sağlanıyor. En tipik yükleri BeaverTail, OtterCookie ve WeaselStore bilgi hırsızları ile InvisibleFerret modüler RAT.   Araştırmanın yazarlarından Peter Kálnai; "DeceptiveDevelopment operatörleri, Lazarus'un DreamJob operasyonuna benzer bir şekilde sosyal medyada sahte işe alım profilleri kullanıyor. Ancak bu durumda, özellikle yazılım geliştiricilere, genellikle kripto para birimi projelerinde yer alanlara ulaşarak sahte iş görüşmesi sürecinin bir parçası olarak arka kapılar yerleştiren trojanize kod tabanlarını potansiyel kurbanlara sağladılar. Tüm bu faaliyetlerin arkasındaki kişiler, geniş çaplı operasyonlar ve son derece yaratıcı sosyal mühendislik için yüksek düzeyde teknik sofistike yöntemler kullanıyor. Kötü amaçlı yazılımları çoğunlukla basit olmasına rağmen teknoloji konusunda bilgili hedefleri bile tuzağa düşürmeyi başarıyorlar" açıklamasını yaptı.