En ny kartläggning från Cisco Talos avslöjar hur nordkoreanska hackergruppen Famous Chollima utnyttjar drömjobb i kryptobranschen som lockbete i globala cyberattacker.
Kontaminerade anställningsintervjuer
Att få ett meddelande om ett drömjobb från ett väletablerat företag som Coinbase eller Uniswap låter som en fantastisk chans. Men enligt cybersäkerhetsteamet Cisco Talos kan det också vara början på en mycket avancerad bluff.
Under sommaren har Famous Chollima, en cybergrupp med koppling till Nordkorea, genomfört en rad rekryteringskampanjer med syftet att infektera datorer och stjäla känslig information. Metoden kallas “Contagious Interviews” och riktar sig särskilt mot personer som visar engagemang inom kryptovaluta på sociala medier.
Så går attacken till
Attacken inleds med att offret kontaktas om ett påhittat jobberbjudande via en fejkad rekryteringsportal. Under den påhittade rekryteringsprocessen ombeds personen att:
- Lämna personlig information
- Skicka in en videointervju
- Ladda ner en fil som sägs hjälpa till att “lösa ett tekniskt problem”
Filnedladdningen är den kritiska punkten – den innehåller skadlig kod som infekterar offrets dator och ger angriparna tillgång till systemet. I vissa fall har infekterade datorer varit kopplade till offrets arbetsgivare, vilket skapat ännu större säkerhetsrisker.
BeaverTail och OtterCookie – verktygen bakom attacken
De skadliga programmen som används i attackerna heter BeaverTail och OtterCookie. Dessa är kraftfulla brottsverktyg med bland annat:
- Keyloggers för att fånga tangentbordsinmatningar
- Skärmavläsning för att ta löpande skärmdumpar
- Remote access-moduler som gör det möjligt att fjärrstyra datorn
Informationen laddas sedan upp till servrar som kontrolleras av hackergruppen.
Dubbla hot: stöld av identitet och intrång i företag
Förutom att stjäla känslig data från privatpersoner används den insamlade informationen för att skapa falska identiteter. Dessa kan sedan användas för att söka verkliga jobb inom IT- och kryptosektorn i syfte att få tillgång till ännu mer information från insidan.
Detta skapar ett allvarligt dubbelt hot – både för individens integritet och för företagets säkerhet.
Experten: Så skyddar du dig
– “Ju mer vi vet om vilka knappar cyberkriminella väljer att trycka på, desto bättre förberedda är vi att hantera det”, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.
Han rekommenderar följande:
- Var vaksam mot oväntade jobberbjudanden
- Granska webbadresser noga
- Ladda aldrig ner program från okända källor
- Insistera på att träffa rekryterare – fysiskt eller via videosamtal
- Var extra misstänksam om något verkar för bra för att vara sant
Globalt och sofistikerat
Attackerna sker över hela världen, på flera språk, och förväntas enligt Cisco öka i omfattning i takt med att kryptovalutor får bredare genomslag i samhället.
Cyberhot kopplade till nationella aktörer som Nordkorea är inte bara ett säkerhetshot – de är också ett geopolitiskt verktyg, som används för att finansiera regimer genom utpressning, datastölder och identitetskapning.
