Криптохакеры начали использовать поддельные объявления о вакансиях

Эксперты по безопасности Moonlock Lab рассказали об атаках киберпреступников, которые стали красть криптовалютные активы у соискателей работы в компаниях блокчейн-индустрии. Хакерская атака реализуется через сеть поддельных сайтов для собеседований, где соискателей работы в криптокомпаниях склоняют к загрузке простой, но эффективной бэкдор-программы. «В отличие от сложных вредоносных программ, использующих методы обфускации, эта атака основана на простоте — отправке исходного кода вместе с двоичным файлом Go, что делает ее кроссплатформенной. Еще более тревожной является попытка перехватить данные разрешения Chrome MetaMask, что способно привести к опустошению кошельков», — говорится в исследовании Moonlock Lab. В отличие от «классического» способа кражи криптоактивов, когда все средства списываются с кошелька атакуемой жертвы, выявленный жизненный цикл бэкдор-программы состоит из нескольких этапов, предполагающих маскировку и длительное скрытое хранение на компьютере жертвы. После успешной кражи пароля к рабочей станции жертвы хакеры могут получить удаленный доступ к устройству, чтобы украсть еще больше данных, включая личные файлы, хранящиеся в системе. Это отличает вредоносную программу от «обычных похитителей данных», которые запускаются в системе один раз, собирая файлы, которые есть в заранее составленном списке запросов. Для снижения риска преждевременного выявления атаке подвергается только одно расширение, связанное с криптовалютой, вероятно, с расчетом на то, что получение удаленного доступа к компьютеру позволит хакерам в ручном режиме осуществить поиск других криптоинструментов и конфиденциальных данных. Эксперты Moonlock Lab сообщили, что вредоносная программа является кроссплатформенной и нацелена на пользователей почти любых операционных систем — Windows, Linux и macOS, как Intel, так и ARM-вариаций. Ранее правоохранительные органы Кении заявили, что хакерской атаке подвергся аккаунт Управления уголовных расследований (DCI) в соцсети Х. Хакеры использовали аккаунт для продвижения мошеннического токена $DCI.