חדש בשוק המתקפות: האקרים פוגעים במפתחים פרילאנסרים

נמצא יעד חדש למתקפות סייבר: מפתחים פרילאנסרים. התוקפים עורכים נגדם מתקפות פישינג באמצעות אתרים לחיפוש משרות, בהם לינקדאין (LinkedIn) – ומנסים לגנוב ארנקי מטבעות דיגיטליים ופרטי התחברות לשירותים; כך לפי מחקר חדש של ESET.

"מאפיינים דומים למבצעים מוכרים אחרים המזוהים עם צפון קוריאה"

במהלך 2024, חוקרי חברת אבטחת המידע זיהו כמה פעולות זדוניות שנעשו על ידי האקרים מצפון קוריאה: מפעילי הקמפיינים, המתחזים למגייסי מפתחי תוכנה, פיתו את קורבנותיהם באמצעות הצעות עבודה מזויפות. לאחר מכן, הם ניסו להעביר לקורבנותיהם פרויקטים של פיתוח, בהם הסתתרה נוזקה לגניבת מידע. חוקרי ESET כינו את מערך הפעילות הזה בשם DeceptiveDevelopment. הפעילות לא שויכה עד היום לגורם איום ספציפי.

בפעילות הזדונית הזו, הסבירו החוקרים, "התוקפים מנסים לפגוע במפתחי תוכנה פרילאנסרים, באמצעות מתקפות פישינג ממוקדות, דרך אתרים לחיפוש משרות ועבודות פרילאנס. זאת, במטרה לגנוב ארנקי מטבעות דיגיטליים ופרטי התחברות מדפדפנים ומנהלי סיסמאות".

לדברי מאתיי הבראנק, חוקר ESET שחשף וניתח את הפעילות של התוקפים, "כחלק מתהליך הקבלה המזויף, מפעילי DeceptiveDevelopment מבקשים מקורבנותיהם לעבור מבחן קוד, כמו הוספת פיצ'ר לפרויקט קיים, כך שהקבצים הנחוצים להשלמת המשימה מאוחסנים במאגרי קוד פרטיים ב-GitHub, או בפלטפורמות דומות. לאחר שהקורבן מוריד ומריץ את הפרויקט – המחשב נפרץ".

מאפייני המסע, ה-TTP – הטקטיקות, הטכניקות והתהליכים – ציינו, "דומים לאלה של מבצעים מוכרים אחרים שמזוהים עם צפון קוריאה. מפעילי הקמפיין מנסים לפגוע במפתחי תוכנה במערכות ההפעלה Windows, Linux ו-macOS. מטרתם העיקרית היא גניבת מטבעות דיגיטליים ליצירת רווח כספי, וייתכן כי קיימת גם מטרה משנית – ריגול סייבר".

המטרה הסופית – גניבת מטבעות קריפטו. צילום: אילוסטרציה. BigStock

קמפיין DeceptiveDevelopment – כך הוא מתבצע

כדי להשיג את מטרותיהם, מפעילי הקמפיין משתמשים בפרופילים מזויפים לגיוס עובדים ברשתות חברתיות. התוקפים לא מבדילים בין קורבנות מאזורים גיאוגרפיים שונים, ובמקום זאת מנסים לפגוע במספר גדול ככל האפשר של קורבנות – כדי להגביר את הסיכוי להצליח בגניבת כספים ומידע.

קמפיין DeceptiveDevelopment מתבסס על שתי משפחות נוזקה עיקריות כחלק מפעילותו, והן מותקנות ומופעלות בשני שלבים. השלב הראשון, שנקרא BeaverTail (נוזקת גניבת מידע והורדה) פועל כנוזקה פשוטה לגניבת שמות משתמש וסיסמאות, שמחלצת בסיסי נתונים המאוחסנים בדפדפן ומכילים סיסמאות שמורות, וכרכיב הורדה לשלב הבא. השלב השני, InvisibleFerret, כולל מרכיבי רוגלה ודלת אחורית, ומסוגל גם להוריד את תוכנת AnyDesk הלגיטימית להשתלטות וניטור מרחוק לביצוע פעולות, לאחר הפריצה הראשונית.

כדי להתחזות למגייסים, התוקפים מעתיקים פרופילים של אנשים קיימים, או בונים זהויות חדשות. לאחר מכן הם פונים באופן יזום לקורבנות פוטנציאליים דרך פלטפורמות לחיפוש משרות ופרויקטי פרילאנס, או באמצעות פרסום הצעות עבודה מזויפות באתרים האלה. אמנם חלק מהפרופילים הללו נוצרו על ידי התוקפים עצמם, אך ייתכן שחלקם הם פרופילים שנגנבו ממשתמשים אמיתיים בפלטפורמה ועברו שינוי על ידי התוקפים.

חלק מהפלטפורמות בהן התקיימה אינטראקציה כזו הן אתרים גנריים למציאת עבודה, אך חלק מהן מתמקדות בפרויקטים הקשורים למטבעות דיגיטליים ולבלוקצ'יין, ואלו מתאימות יותר למטרותיהם של התוקפים. בין הפלטפורמות: לינקדאין, Upwork, Freelancer.com, We Work Remotely, Moonlight ו-Crypto Jobs List.

הקורבנות מקבלים את הקבצים של הפרויקט באמצעות העברת קבצים ישירה באתר עצמו, או באמצעות קישור למאגר כמו GitHub, GitLab או Bitbucket. הם מתבקשים להוריד את הקבצים, להוסיף פיצ'רים, או לתקן באגים, ולדווח חזרה למגייס. בנוסף, הם מתבקשים לבנות ולהריץ את הפרויקט, כדי לבדוק אותו, ואז מתרחשת הפריצה הראשונית.