|
Jena (ots) - Neu ist die Idee von Scheinjobs nicht, mit denen
nordkoreaverbundene Hackergruppen Entwickler neuerdings auch in Europa
übertölpeln wollen. Überraschend ist hingegen die hoch professionelle, technisch
versierte Vorgehensweise und das Tempo, mit denen "DeceptiveDevelopment"
Entwickler aus der Krypto- und Web3-Branche angreift. Nach Erkenntnissen des
IT-Sicherheitsherstellers ESET geben sich die Täter als Recruiter aus und
verschicken seriös wirkende Bewerbungsaufgaben. Ziel sind Geld und Zugänge wie
beispielsweise Krypto-Vermögen, Wallet-Schlüssel, Entwicklerkonten und
Cloud-Tokens.
Für die Attacken nutzen die Hacker die Social-Engineering-Methode namens
ClickFix, die sie angepasst und optimiert haben. Die Opfer werden auf eine
gefälschte Website für Vorstellungsgespräche gelockt und gebeten, ein
detailliertes Bewerbungsformular auszufüllen. Das an sich kostet viel Zeit und
Mühe. Im letzten Schritt werden sie aufgefordert, eine Videoantwort aufzunehmen.
Die manipulierte Website zeigt einen vorgetäuschten Kamerafehler und fordert die
Nutzer mit dem Hinweis "So beheben Sie das Problem" zum Handeln auf. Per Klick
öffnet sich eine Anleitung, die zum Ausführen eines Terminalbefehls auffordert -
angeblich zur Behebung von Kamera- oder Mikrofonstörungen. Tatsächlich aber lädt
der Befehl Schadsoftware nach, die sich zusammen mit verstecktem Code in den
Bewerbungsaufgaben aktiviert. Eine detaillierte Analyse haben die ESET-Experten
auf www.welivesecurity.de (https://www.welivesecurity.com/de/eset-research/vom-p
rimitiven-krypto-diebstahl-zum-raffinierten-ki-basierten-betrug) veröffentlicht.
Was daran neu ist und warum es jetzt relevant ist
ESET weist DeceptiveDevelopment als eigenständige Gruppe mit klarem
Werkzeugkasten aus. Zusätzlich hat der europäische Sicherheitshersteller
öffentlich verfügbare OSINT-Daten ("Open Source Intelligence") ausgewertet, die
die Verbindung zu nordkoreanischen IT-Arbeitskräften in betrügerischen
Beschäftigungsmodellen zeigen. Dokumentiert sind gefälschte Identitäten,
manipulierte Profilfotos und Gesichtswechsel in Videointerviews. Auffällig ist
die Verlagerung nach Europa. Genannt werden unter anderem Frankreich, Polen, die
Ukraine und Albanien.
"Die Angreifer setzen weniger auf spektakuläre Exploits und mehr auf
Glaubwürdigkeit und Geschwindigkeit", sagt Peter Kálnai aus dem ESET Research
Team. "Gute Profile, plausible Projekte und am Ende ein kurzer Befehl genügen,
um selbst erfahrene Entwickler auszutricksen."
Wen es trifft
Im Fokus stehen Entwickler und Teams aus der Krypto- und Web3-Branche, die zum
Beispiel an Blockchains, Smart Contracts, Wallets oder Krypto-Börsen arbeiten.
Gefährdet sind auch Recruiter und Personalabteilungen, die remote rekrutieren
oder Coding-Aufgaben vergeben. Die eingesetzten Schadprogramme sind für Windows,
Linux und macOS ausgelegt.
So schützen sich Recruiter und Bewerber
1. Identitäten prüfen. Profile, Referenzen und Firmendaten abgleichen. Aufgaben
aus privaten Git-Repositories nur in abgesicherten Testumgebungen öffnen.
2. Keine Befehle aus dem Web kopieren. Terminal- oder PowerShell-Befehle nie
blind übernehmen. Bei angeblichen Kamera- oder Login-Fehlern die eigene IT
einbinden. Genau hier greift der ClickFix-Trick.
3. Tokens und Zugänge trennen. Für Testaufgaben keine Produktivschlüssel
verwenden. Zugangsdaten und Wallets strikt separieren.
4. Erkennung und Reaktion stärken. EDR oder XDR einsetzen, Protokolle zentral
auswerten, Alarme und Playbooks festlegen und regelmäßig testen.
5. Recruiting absichern. Videointerviews mit Echtheitsprüfungen, klare
Freigaben, Vier-Augen-Prinzip. Bei Verdacht Prozesse stoppen und melden.
Zusätzliche Fachinformationen
Taktik und Ablauf
Die Ansprache erfolgt über LinkedIn, Upwork, Freelancer und Crypto Jobs List.
Die Aufgaben kommen aus privaten GitHub-, GitLab- oder Bitbucket-Repositories.
Darin steckt trojanisierter Code. Zusätzlich nutzen die Täter ClickFix. Eine
gefälschte Seite liefert eine Fehlermeldung und einen kurzen Textbefehl. Wer den
Befehl in die Konsole kopiert, lädt die Malware nach.
Werkzeuge und Ziele
Typische Komponenten sind die Infostealer BeaverTail, OtterCookie und
WeaselStore sowie der modulare Remotezugriff InvisibleFerret. Ergänzend tritt
TsunamiKit als Toolkette auf. In der Backdoor-Linie zeigt Tropidoor
Codeüberschneidungen mit PostNapTea aus dem Lazarus-Umfeld. Das Primärziel ist
der Diebstahl finanzieller Werte und Zugänge. Die Aktivitäten laufen
plattformübergreifend auf Windows, macOS und Linux.
OSINT-Befunde zu nordkoreanischen IT-Arbeitskräften
ESET beschreibt Überschneidungen zwischen Scheinbeschäftigungen nordkoreanischer
IT-Worker und DeceptiveDevelopment. Festgehalten sind Fake-Identitäten,
Proxy-Interviews, KI-gestützte Bildmanipulation und Gesichtswechsel in Echtzeit.
Zahlungen aus solchen Beschäftigungen dienen als Einnahmequelle, zusätzlich
werden interne Daten abgegriffen. Die Zielauswahl verschiebt sich zunehmend nach
Europa.
Weitere Informationen finden Sie im Blogbeitrag " Vom primitiven
Krypto-Diebstahl zum raffinierten KI-basierten Betrug (https://www.welivesecurit
y.com/de/eset-research/vom-primitiven-krypto-diebstahl-zum-raffinierten-ki-basie
rten-betrug) " .
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
mailto:christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
mailto:Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
mailto:Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Weiteres Material: http://presseportal.de/pm/71571/6125458
OTS: ESET Deutschland GmbH
|
