曹县黑客组织通过虚假招聘机会窃取加密货币

摘要：ESET Research发布了关于DeceptiveDevelopment（又名Contagious Interview）威胁组织的最新研究报告。该威胁组织与曹县官方有关，近年来日益活跃。该组织致力于加密货币盗窃，目标是Windows、Linux和macOS

ESET Research发布了关于DeceptiveDevelopment（又名Contagious Interview）威胁组织的最新研究报告。该威胁组织与曹县官方有关，近年来日益活跃。该组织致力于加密货币盗窃，目标是Windows、Linux和macOS平台上的自由开发者。

新发布的研究报告追溯了该组织从早期恶意软件家族到更高级工具集的演变过程。这些活动严重依赖复杂的社会工程学手段，包括虚假求职面试和ClickFix技术，来传播恶意软件并窃取加密货币。

ESET还分析了开源情报（OSINT）数据，这些数据揭示了参与欺诈性就业计划的曹县IT员工的运作方式及其与DeceptiveDevelopment的联系。

DeceptiveDevelopment 是一个与曹县官方关联的威胁组织，至少自 2023 年起活跃，专注于经济利益。

该组织的目标是所有主流系统（Windows、Linux 和 macOS）的软件开发者，尤其是加密货币和 Web3 项目的开发者。

最初的访问权限是通过各种社会工程技术（例如 ClickFix）以及类似于 Lazarus 的 Operation DreamJob 的虚假招聘人员资料来实现的，这些资料会在安排好的面试过程中传播木马代码库。

其最典型的有效载荷是 BeaverTail、OtterCookie 和 WeaselStore 信息窃取程序，以及 InvisibleFerret 模块化远控木马。

“DeceptiveDevelopment 的运营者在社交媒体上使用虚假的招聘人员资料，其方式与 Lazarus 的“梦想工作行动”（Operation DreamJob）类似。

在本案中，他们专门联系软件开发人员，通常是参与加密货币项目的人员，向潜在受害者提供木马代码库，这些代码库会在虚假的求职面试过程中部署后门。”该研究论文的共同作者之一 Peter Kálnai 表示。

“所有这些活动的幕后黑手，都以高端技术为代价，换取了广泛的行动范围和极具创意的社会工程学。他们的恶意软件大多很简单，但却能成功吸引即使是技术娴熟的目标。”Kálnai 补充道。

攻击者选择各种方法来攻击用户，并运用巧妙的社会工程手段。他们通过伪造和劫持的个人资料，在 LinkedIn、Upwork、Freelancer.com 和 Crypto Jobs List 等平台上冒充招聘人员。他们提供虚假的丰厚工作机会，以吸引目标用户的兴趣。受害者会被要求参加编程挑战或面试前的任务。

除了虚假的招聘人员账户外，攻击者还定制并改进了名为 ClickFix 的社会工程方法。受害者被引诱到一个虚假的求职面试网站，并被要求填写一份详细的申请表。

在最后一步，受害者会被提示录制视频回答，但网站会显示摄像头错误，并提供一个“如何修复”链接。该链接会指示用户打开终端并复制一条应该可以解决摄像头或麦克风问题的命令，但该命令非但没有解决问题，反而会下载并执行恶意软件。

虽然对 DeceptiveDevelopment 的研究主要基于 ESET 遥测数据以及对该组织工具集的逆向工程，但值得注意的是，该组织与曹县 IT 工作者的欺诈行为存在关联。

根据 FBI 的指控，曹县IT 工作者诈骗活动至少自 2017 年 4 月以来就一直在进行，近年来愈发引人注目。

2022 年 5 月发布的一份联合公告将 IT 工作者诈骗活动描述为与曹县官方有关的为在海外公司就业而采取的协同行动。FBI 在 2025 年 1 月的一份声明中指出，他们还窃取公司内部数据并用于敲诈勒索。

ESET Research 从现有的 OSINT 数据、虚假简历和其他相关材料中发现，这些 IT 工作者主要在西方国家从事雇佣和合同工，尤其优先考虑美国。

ESET根据所获得的材料发现，这些 IT 工作者的目标市场转向了欧洲，其目标国家包括法国、波兰、乌克兰和阿尔巴尼亚。

这些工作者利用人工智能完成工作任务，并严重依赖人工智能处理个人资料照片和简历中的照片，甚至在实时视频面试中进行人脸交换，使其看起来像他们当前使用的角色。

他们利用 Zoom、MiroTalk、FreeConference 或 Microsoft Teams 等远程面试平台进行各种社会工程技术。代理面试对雇主构成严重风险，因为从受制裁国家雇佣非法员工不仅可能不负责任或表现不佳，还可能演变成危险的内部威胁。

研究报告《DeceptiveDevelopment：从原始的加密货币盗窃到复杂的基于人工智能的欺骗》总结了该组织两大旗舰工具集 InvisibleFerret 和 BeaverTail 的演变历程。

报告分析了 DeceptiveDevelopment 的 Tropidoor 后门与 Lazarus 组织使用的 PostNapTea RAT 之间的新关联。

此外，报告还对 DeceptiveDevelopment 使用的新工具包 TsunamiKit 和 WeaselStore 进行了全面分析，并记录了 WeaselStore C&C 服务器及其 API 的功能。

报告全文：

《欺骗性发展：从原始的加密盗窃到复杂的基于人工智能的欺骗》

PDF下载：

来源：会杀毒的单反狗

标签：招聘黑客曹县货币曹县黑客

本文地址：http://news.43b.com.cn/a/1472268.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!

相关推荐