Sahte iş teklifleriyle tuzak kuruyorlar

ESET , 2024'ten bu yana Kuzey Kore bağlantılı bir dizi kötü niyetli faaliyet gözlemledi. Yazılım geliştirmede çalışan kişiler gibi davranan operatörler, kurbanları sahte iş teklifleriyle kandırıyor. Bilgi hırsızlığı yapan kötü amaçlı yazılımları gizleyen yazılım projeleriyle hedeflerine hizmet etmeye çalışıyorlar. ESET Research bu faaliyeti Deceptive Development kümesi olarak adlandırıyor. Kuzey Kore bağlantılı faaliyet ESET tarafından bilinen bir tehdit aktörüne atfedilmiyor. İş bulma ve serbest çalışma sitelerinde hedef şaşırtma yoluyla serbest çalışan yazılım geliştiricileri hedef alıyor. Kripto para cüzdanlarını,  tarayıcılardan ve parola yöneticilerinden giriş bilgilerini çalmayı amaçlıyor.

Deceptive Development'ı keşfedip analiz eden ESET araştırmacısı Matěj Havránek  şu açıklamayı yaptı: "Sahte iş görüşmesi sürecinin parçası olarak, Deceptive Development operatörleri mevcut projeye özellik eklemek gibi kodlama testi yapmalarını istiyor ve görev için gerekli dosyalar genellikle GitHub veya diğer benzer platformlardaki özel depolarda barındırılıyor. İş adayı için bu dosyalar truva atı. Projeyi indirip çalıştırdıklarında kurbanın bilgisayarı tehlikeye giriyor. Deceptive Development kümesi, Kuzey Kore'ye bağlı aktörler tarafından halihazırda kullanılan geniş bir para kazanma planları koleksiyonuna bir ektir ve odağı geleneksel paradan kripto para birimlerine kaydırma eğilimine uymaktadır."

Deceptive Development'ın taktik, teknik ve prosedürleri Kuzey Kore'de olduğu bilinen operasyonlarla benzerlik gösteriyor. Deceptive Development'ın arkasındaki operatörler Windows, Linux ve macOS üzerindeki yazılım geliştiricilerini hedef alıyor. Kripto para birimini finansal kazanç için çalıyorlar, olası bir amaçları da siber casusluk. Bu operatörler hedeflerine yaklaşmak için sosyal medyada sahte işe alım profilleri kullanıyor. Saldırganlar coğrafi konuma göre ayrım yapmazlar, bunun yerine başarılı fon ve bilgi elde etme olasılığını artırmak için mümkün olduğunca çok sayıda kurbanı tehlikeye atmayı amaçlarlar.

Deceptive Development, faaliyetlerinin parçası olarak öncelikle iki aşamada sunulan iki kötü amaçlı yazılım ailesi kullanır. İlk aşamada, BeaverTail (bilgi hırsızı, indirici) basit oturum açma hırsızı olarak hareket eder, kayıtlı oturum açma bilgilerini içeren tarayıcı veri tabanlarını çıkarır. İkinci aşama için bir indirici olarak, casus yazılım ve arka kapı bileşenleri içeren InvisibleFerret (bilgi hırsızı, RAT) ve ayrıca uzlaşma sonrası faaliyetler için yasal AnyDesk uzaktan yönetim ve izleme yazılımını indirebilir.

Saldırganlar, işe alım görevlisi gibi davranmak için mevcut kişilerin profillerini kopyalar hatta yeni kişilik oluşturur. Kurbanlarına iş arama ve serbest çalışma platformlarında doğrudan yaklaşır ya da buralarda sahte iş ilanları yayımlıyorlar. Profillerden bazıları saldırganlar tarafından oluşturulurken diğerleri gerçek kişilerin saldırganlar tarafından değiştirilmiş potansiyel olarak tehlikeye atılmış profilleridir. Bunlardan bazıları genel iş arama platformları iken diğerleri öncelikle kripto para birimi ve blok zinciri projelerine odaklanıyor ve bu nedenle saldırganların hedeflerine daha uygun. Bu platformlar arasında LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight ve Crypto Jobs List yer alıyor.

Mağdurlar proje dosyalarını doğrudan sitedeki dosya aktarımı yoluyla ya da GitHub, GitLab, Bitbucket gibi bir depoya bağlantı yoluyla alırlar. Dosyaları indirmeleri, özellikler eklemeleri, hata düzeltmeleri ve işe alan kişiye geri bildirimde bulunmaları istenir. Test etmek için projeyi oluşturmaları ve yürütmeleri talimatı verilir, bu da ilk tehlikenin gerçekleştiği yerdir. Saldırganlar kötü amaçlı kodlarını gizlemek için akıllıca numara kullanırlar: Kodu, genellikle geliştiriciye verilen görevle ilgisi olmayan arka uç kodu içinde, projenin başka türlü zararsız bir bileşenine yerleştirir ve uzun bir yorumun arkasına tek bir satır olarak eklerler. Bu şekilde, ekranın dışına taşınır ve çoğunlukla gizli kalır.