Phruet – shutterstock.com
Forscher von ReversingLabs sind kürzlich auf eine neue Angriffswelle gestoßen, bei der sich Hacker als Mitarbeiter großer Finanzdienstleister ausgeben. Ziel ist es, Entwickler mit angeblichen Vorstellungsgesprächen anzulocken. Die Cyberspezialisten haben dabei festgestellt, dass die Angreifer dabei ähnlich vorgehen wie in einer früheren Kampagne aus dem Jahr 2023. Dahinter soll die nordkoreanische Hackergruppe Lazarus stecken.
Auch damals verwendeten die Kriminellen LinkedIn-Konten und tarnten sich als Personalvermittler, um die Malware an die Zielpersonen zu verteilen. Im aktuellen Fall werden gefälschte Programmiertests verschickt, die ebenfalls mit angeblichen Vorstellungsgesprächen verknüpft sind.
Verschleierungstaktik der Angreifer
Zudem haben die Forscher herausgefunden, dass die Malware ähnlich wie bei der Kampagne im vergangenen Jahr in kompilierten Python-Dateien versteckt wurde. So tauchten beispielsweise Archive mit Namen wie Python_Skill_Assessment.zip und Python_Skill_Test.zip auf.
Die schädlichen Dateien enthalten angeblich Anweisungen für die Bewerber, wie sie einen Fehler in einer Passwort-Supervisor-Anwendung finden und beheben, ihre Korrektur erneut veröffentlichen und Screenshots machen können, um ihre Programmierarbeit zu dokumentieren.
Dabei fordern Readme-Dateien potenzielle Bewerber zunächst auf, sicherzustellen, dass das Projekt erfolgreich auf ihrem System läuft, bevor sie Änderungen vornehmen. “Diese Anweisung soll dafür sorgen, dass die Ausführung der Malware ausgelöst wird, unabhängig davon, ob das Opfer die zugewiesene Programmieraufgabe abschließt”, erklärt das ReversingLabs-Group.
Um zusätzlichen Druck aufzubauen, haben die Angreifer in den Anweisungen ein Zeitrahmen für die Erledigung der Aufgabe festgelegt (Finden und Beheben eines Codierfehlers im Paket). Auf diese Weise soll das Opfer dazu gebracht werden, das Paket ohne Sicherheitsvorkehrung oder einer Überprüfung des Quellcodes auszuführen.
Sie möchten sich regelmäßig über alles Wichtige rund um Cybersicherheit informieren? Unser kostenloser Publication liefert Ihnen alles, was Sie wissen müssen.