Nordkoreanische Hacker nutzen gefälschte Vorstellungsgespräche, um Entwickler mit plattformübergreifender Malware zu infizieren

Nordkoreanische Bedrohungsakteure haben einen raffinierten Weg gefunden, Softwareentwickler ins Visier zu nehmen: gefälschte Vorstellungsgespräche. Diese heimtückische Methode zielt darauf ab, ahnungslose Arbeitssuchende in der Technologiebranche dazu zu verleiten, Malware herunterzuladen, die sowohl ihre Sicherheit als auch ihre Systeme gefährdet. Sicherheitsforscher haben diese Kampagne beobachtet, die als CL-STA-0240 verfolgt und als „Contagious Interview“ bekannt ist, bei der sich Hacker auf Jobplattformen als potenzielle Arbeitgeber ausgeben.

Diese Operation wurde durch einen Bericht der Unit 42 von Palo Alto Networks ans Licht gebracht. Sie wurde erstmals im November 2023 bekannt gegeben und enthüllte, dass Cyberkriminelle aktualisierte Versionen zweier Malware-Familien verwenden: BeaverTail und InvisibleFerret.

So läuft der Angriff ab

Der erste Kontaktpunkt erfolgt über Jobsuchplattformen, wo nordkoreanische Hacker, die sich als Personalvermittler ausgeben, mit Softwareentwicklern Kontakt aufnehmen. Sie arrangieren Online-Vorstellungsgespräche und gewinnen das Vertrauen ihrer Opfer, indem sie legitime Einstellungsverfahren imitieren. Während dieser sogenannten Interviews überzeugen die Hacker die Entwickler, etwas herunterzuladen, das sie als Programmieraufgaben oder anderes arbeitsbezogenes Material ausgeben. Ohne das Wissen des Opfers enthalten diese Downloads Schadsoftware.

Der Infektionsprozess beginnt mit dem BeaverTail-Downloader, einer Malware, die Informationen stiehlt und sowohl auf Windows- als auch auf macOS-Systeme abzielt. BeaverTail fungiert als Brücke für eine gefährlichere zweite Stufe der Malware: die InvisibleFerret-Hintertür, die auf der Programmiersprache Python basiert. Obwohl diese Operation öffentlich bekannt ist, deuten aktuelle Berichte darauf hin, dass die Hacker hinter dieser Kampagne weiterhin Erfolg haben, indem sie Entwickler dazu verleiten, unwissentlich Schadcode auszuführen.

Plattformübergreifende Malware ist der Albtraum eines Entwicklers

Eine eingehendere Analyse von Cybersicherheitsexperten wie Patrick Wardle und Group-IB zeigt, wie weitreichend diese Bedrohung ist. Diese Angreifer verwenden gefälschte Videokonferenzanwendungen – beispielsweise Nachahmungen von MiroTalk und FreeConference.com –, um Systeme zu infiltrieren. Diese gefälschten Anwendungen werden mit Qt entwickelt, einem beliebten Framework, das eine plattformübergreifende Kompilierung ermöglicht, darunter Windows und macOS.

Die Qt-basierte Version von BeaverTail ist nicht nur auf eine Funktion beschränkt. Sie kann Browser-Passwörter sowie Daten aus Kryptowährungs-Wallets stehlen, was sie besonders gefährlich macht. Sie exfiltriert Daten auf einen von Hackern kontrollierten Server und gibt Cyberkriminellen Zugriff auf vertrauliche persönliche und finanzielle Informationen.

Nachdem BeaverTail seinen Teil erledigt hat, installiert es InvisibleFerret, das zu weitaus zerstörerischeren Aktivitäten fähig ist. Diese Malware enthält zwei kritische Komponenten:

  1. Eine Hauptnutzlast, die für die Fernsteuerung, das Keylogging, das Erstellen von Fingerabdrücken des infizierten Systems und sogar das Herunterladen von Remotedesktoptools konzipiert ist.
  2. Ein Browser-Stealer , der Browser-Anmeldeinformationen wie Benutzernamen, Passwörter und sogar gespeicherte Kreditkarteninformationen extrahiert.

Finanzielle Motivation hinter den Angriffen

Nordkoreanische Bedrohungsakteure werden schon lange mit finanziell motivierten Cyberkriminalität in Verbindung gebracht und nutzen diese illegalen Gewinne häufig zur Unterstützung des Regimes. Unit 42 vermutet, dass diese spezielle Kampagne auch ein starkes finanzielles Motiv haben könnte, insbesondere angesichts der Fähigkeit der Malware, aus 13 verschiedenen Kryptowährungs-Wallets zu stehlen.

Durch den Einsatz von Tools, mit denen wertvolle Vermögenswerte wie Kryptowährung, Browser-Anmeldeinformationen und sogar Fernzugriffe abgeschöpft werden können, könnten die Hacker möglicherweise große Geldsummen abschöpfen. Finanziell motivierte Cyberangriffe wie dieser sind ein Eckpfeiler der Strategie Nordkoreas, internationale Sanktionen zu umgehen und seine Regierungsgeschäfte zu finanzieren.

So schützen Sie sich als Entwickler

Der Anstieg von Cyberangriffen über gefälschte Vorstellungsgespräche signalisiert einen beunruhigenden Wandel in der Art und Weise, wie Hacker Entwickler und die breitere Tech-Community ins Visier nehmen. Hier sind einige Schritte, um sicher zu bleiben:

  • Überprüfen Sie die Personalvermittler : Überprüfen Sie immer die Identität von Personalvermittlern oder Arbeitgebern, die sich an Sie wenden. Eine einfache LinkedIn-Suche oder ein Besuch der offiziellen Website des Unternehmens können Ihnen dabei helfen, zu bestätigen, ob das Angebot echt ist.
  • Seien Sie beim Downloaden vorsichtig : Laden Sie niemals Dateien aus einer nicht vertrauenswürdigen Quelle herunter, insbesondere wenn sie von einer Plattform oder Person stammen, die Sie nicht überprüft haben.
  • Verwenden Sie strenge Sicherheitsmaßnahmen : Halten Sie Ihre Antiviren- und Malware-Erkennungssoftware auf dem neuesten Stand. Erwägen Sie die Verwendung verschlüsselter Kommunikation und Sandboxing-Tools, wenn Sie online mit unbekannten Entitäten interagieren.
  • Überwachen Sie Krypto-Wallets : Wenn Sie mit Kryptowährungen zu tun haben, seien Sie besonders wachsam. Verwenden Sie Wallets mit starken Sicherheitsfunktionen und überwachen Sie Transaktionen genau auf verdächtige Aktivitäten.

Abschluss

Die Verwendung gefälschter Bewerbungsgespräche durch nordkoreanische Hacker zur Verbreitung von Malware ist eine erschreckende Erinnerung daran, wie kreativ und gefährlich Cyberkriminelle sein können. Da die Angriffe sowohl auf Windows- als auch auf macOS-Plattformen abzielen, ist niemand wirklich vor diesen Bedrohungen sicher. Insbesondere Entwickler sollten in höchster Alarmbereitschaft sein, da Hacker weiterhin den Bewerbungsprozess ausnutzen, um vertrauliche Daten und finanzielle Vermögenswerte zu stehlen. Informiert, wachsam und vorbereitet zu bleiben ist der Schlüssel zum Schutz in dieser neuen Ära der Cyberkriminalität.

Bis Zane
October 9, 2024
Computer Security
Deutsch
October 9, 2024
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.