Το τοπίο της κυβερνοασφάλειας βιώνει μια σημαντική αλλαγή στον τρόπο λειτουργίας των επιτιθέμενων. Οι φορείς απειλών έχουν απομακρυνθεί από τις παραδοσιακές μεθόδους κυνηγιού, όπως τα μηνύματα ηλεκτρονικού “ψαρέματος” και η ψυχρή προσέγγιση.
Αντίθετα, τώρα δημιουργούν εξελιγμένες παγίδες που έχουν σχεδιαστεί για να κάνουν στόχους υψηλής αξίας να μπαίνουν απευθείας στα σχέδιά τους.
Αυτή η νέα προσέγγιση, που ονομάζεται «εισερχόμενη» κοινωνική μηχανική, εστιάζει επί του παρόντος στους τομείς του Web3 και των κρυπτονομισμάτων με σημαντικά ποσοστά επιτυχίας.
Η στρατηγική επίθεσης βασίζεται σε μια απλή αλλά αποτελεσματική ψυχολογική προσέγγιση. Οι εισβολείς δημιουργούν πειστικές ψεύτικες εταιρείες ή αντιγράφουν νόμιμες εταιρείες Web3 και μετά δημοσιεύουν θέσεις εργασίας για ελκυστικές θέσεις μέσω ιστοτόπων όπως το youbuidl.dev.
Αυτή η μέθοδος μειώνει την άμυνα του θύματος επειδή τα άτομα που αναζητούν εργασία πιστεύουν ότι είναι αυτοί που ξεκινούν την επαφή.
Δεν περιμένουν κίνδυνο από μια ευκαιρία που επιδιώκουν. Ο πραγματικός στόχος εδώ είναι το άτομο πίσω από την οθόνη, το οποίο πιθανότατα έχει προσωπικά πορτοφόλια κρυπτονομισμάτων εγκατεστημένα στον υπολογιστή του.
Πολλά θύματα κάνουν ακόμη και αίτηση για αυτές τις ψεύτικες θέσεις εργασίας χρησιμοποιώντας τους εταιρικούς φορητούς υπολογιστές τους, δίνοντας στους επιτιθέμενους μια άμεση διαδρομή προς μεγάλα χρηματοπιστωτικά ιδρύματα.
Άρης Χαριάντω αναγνωρισθείς και τεκμηρίωσε αυτήν την αναδυόμενη απειλή αφού ανακάλυψε τους τεχνικούς μηχανισμούς του τρόπου λειτουργίας του κακόβουλου λογισμικού σε αυτές τις καμπάνιες στρατολόγησης.
Η ανάλυσή του αποκάλυψε ότι η επίθεση ακολουθεί μια τυπική ροή εργασιών εταιρικής συνέντευξης για τη διατήρηση της νομιμότητας σε όλη τη διαδικασία.
Η εκτέλεση ξεκινά όταν οι υποψήφιοι λάβουν μια πρόσκληση συνέντευξης με επαγγελματική εμφάνιση από δόλιους τομείς όπως το collaborex.ai. Κατά τη διάρκεια του σταδίου της συνέντευξης βίντεο, ζητείται από τα θύματα να κατεβάσουν αυτό που φαίνεται να είναι μια νόμιμη εφαρμογή συνάντησης.
Το κακόβουλο αρχείο, που ονομάζεται collaborex_setup.msi, γίνεται λήψη και εκτέλεση στο σύστημα του θύματος. Μόλις εκκινηθεί, το πρόγραμμα εγκατάστασης εκκινεί αθόρυβα μια σύνδεση Command and Control με τον διακομιστή του εισβολέα στη διεύθυνση IP 179.43.159.106 στο παρασκήνιο.
Επικοινωνία Διοίκησης και Ελέγχου και Εξαγωγή Δεδομένων
Η σύνδεση του κακόβουλου λογισμικού με τον διακομιστή C2 σηματοδοτεί την αρχή του πλήρους συμβιβασμού του συστήματος. Όταν εκτελείται το αρχείο collaborex_setup.msi, δημιουργεί ένα κρυφό κανάλι επικοινωνίας με την υποδομή του εισβολέα.
Αυτή η σύνδεση επιτρέπει στους παράγοντες απειλής να ελέγχουν εξ αποστάσεως τον μολυσμένο υπολογιστή χωρίς να το γνωρίζει ο χρήστης.
Οι εισβολείς μπορούν στη συνέχεια να εξαγάγουν ευαίσθητες πληροφορίες, όπως ιδιωτικά κλειδιά κρυπτονομισμάτων, διαπιστευτήρια πορτοφολιού και εταιρικά δεδομένα.
Για προγραμματιστές που εργάζονται σε ανταλλακτήρια κρυπτογράφησης ή πρωτόκολλα DeFi, αυτή η πρόσβαση σημαίνει άμεση κλοπή θεσμικών κεφαλαίων και πνευματικής ιδιοκτησίας.
Το κακόβουλο λογισμικό εκτελείται αθόρυβα στο παρασκήνιο, καθιστώντας εξαιρετικά δύσκολο για τις τυπικές λύσεις προστασίας από ιούς τον εντοπισμό της κακόβουλης δραστηριότητας.
Οι φορείς της απειλής μπορούν να διατηρήσουν επίμονη πρόσβαση στο σύστημα επ’ αόριστον, παρακολουθώντας συνεχώς και κλέβοντας δεδομένα όπως απαιτείται.
