ESET компаниясы – ақпараттық қауіпсіздік саласындағы көшбасшы – жалған бос жұмыс орындары түрінде таратылатын тыңшылық зиянды бағдарламалық жасақтаманы анықтатады. Зиянды белсенділік криптовалюта әмияндардан, сондай-ақ браузерлер мен құпиясөз менеджерінен есептік ақпараттарды ұрлау үшін фриланс әзірлеушілерге бағытталған.
Әсіресе, киберқылмыскерлер өздерін IT-компанияларға жұмысқа қабылдайтын рекрутерлер атынан үміткерлерге тестілік жоба түрінде тыңшылық зиянды бағдарламалық жасақтамасы бар файлдарды жіберген. Ол үшін зиянкестер LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight және Crypto Jobs List сияқты платформаларды пайдаланған.
Зиянкестердің әрекеттері құрбандарды таңдау барысында географиялық заңдылықтарға сүйенбейді, бірақ қаражат пен ақпараттарды ұрлау ықтималдығын ұлғайту үшін мүмкіндігінше көп құрылғыларды әшкерелеуге ұмтылады.
«Жалған сұхбаттасу барысында киберқылмыскерлер әлеуетті құрбандарға кодтау бойынша тестілік тапсырма орындауды сұрайды, мысалы, қолда бар жобаға функция қосу. Сонымен тапсырманы орындауға арналған қажетті файлдар әдетте GitHub дербес қоймаларында немесе басқа да ұқсас платформаларда орналастырылады. Алайда бұл файлдар іс жүзінде трояндар болып табылады: жобаны жүктеп, іске қосқаннан кейін, құрбанның компьютері әшкереленеді», - деп түсіндіреді ESET зерттеушісі, Маэй Хавранек.
ESET зерттеушілері DeceptiveDevelopment деп атаған бұл әрекет Солтүстік Кореямен байланысты, алайда басқа да белгілі қауіптермен байланыстыруға болмайды. DeceptiveDevelopment негізінен Windows, Linux және MacOS бағдарламалық жасақтама әзірлеушілеріне бағытталған. Зиянкестер криптовалюта ұрлаумен бірінші кезекте қаржылық пайда үшін айналысады, сондай-ақ қосалқы мақсаты кибертыңшылық болуы мүмкін.
Зиянкестер рекрутер ретінде көріну үшін қолданыстағы профильдерді көшіріп, жалған тұлғаларды жасайды немесе шынайы адамдардың бұзылған есептік жазбаларын пайдаланады. Содан сон олар ықтимал құрбандарға жұмыс іздеуге және фрилансқа арналған платформаларында тікелей хабарласады немесе жалған бос жұмыс орындарының тізімін жариялайды.
DeceptiveDevelopment зиянкестері өз қызметінің бөлігі ретінде негізінен екі зиянды бағдарлама тобын қолданып, оларды екі кезеңде пайдаланады. Бірінші кезеңде қарапайым логин ұрлықшысы ретінде жұмыс істейтін, есептік деректер сақталған браузердің дерекқорларына қол жеткізетін BeaverTail қолданады. Екінші кезеңде тыңшы бағдарламалық жасақтамасы мен бэкдор компоненттерін қамтитын, сондай-ақ қашықтан басқара алатын және құрылғыны әшкерелегеннен кейін әрекеттерді бақылай алатын AnyDesk заңды бағдарламалық жасақтамасын жүктей алатын InvisibleFerret жүктеуіші пайдаланылады.
«DeceptiveDevelopment Солтүстік Кореямен байланысы бар киберқылмыскерлер пайдаланатын ақша табу схемаларының кең тізіміне қосымша болып табылады, сондай-ақ дәстүрлі қаржыдан криптовалютаға көңіл ауыстырудың тұрақты үрдісіне сәйкес келеді», — деп түйіндейді, ESET зерттеушісі, Маэй Хавранек.
Қауіп туралы толығырақ ақпаратты зерттеудің толық нұсқасынан оқысаңыз болады.