Il gruppo di hacker nordcoreani noto come Lazarus Group ha adottato una nuova tattica di ingegneria sociale chiamata ClickFix per prendere di mira i cercatori di lavoro nel settore delle criptovalute. Questa nuova metodologia è stata utilizzata per distribuire un malware basato su Go, chiamato GolangGhost, su sistemi Windows e macOS. Questa campagna, denominata ClickFake Interview, è una continuazione dell'attività conosciuta come Contagious Interview, iniziata nel dicembre 2022 e pubblicamente documentata per la prima volta alla fine del 2023.

Strategia di attacco

La strategia prevede l'utilizzo di siti web legittimi di colloqui di lavoro per sfruttare la tattica ClickFix e installare backdoor su Windows e macOS. Gli hacker impersonano aziende del settore finanziario centralizzato come Coinbase, KuCoin e Kraken per attaccare le vittime, segnando un cambiamento rispetto agli attacchi precedenti che si concentravano principalmente su entità di finanza decentralizzata (DeFi).

Processo di infezione

Il processo coinvolge l'avvicinamento dei candidati tramite LinkedIn o X, invitandoli a prepararsi per un colloquio video. Durante questo processo, viene richiesto di scaricare un software di videoconferenza o un progetto open-source contenente malware, attivando così il processo di infezione. Al momento dell'abilitazione della fotocamera, un messaggio d'errore richiede alla vittima di scaricare un driver per risolvere il problema, momento in cui viene utilizzata la tecnica ClickFix per installare il malware.

Tecniche di esecuzione

La tecnica prevede l'utilizzo di comandi specifici per i diversi sistemi operativi. Su Windows, viene richiesto di eseguire un comando curl tramite il Prompt dei comandi, mentre su macOS viene utilizzato un comando simile tramite l'app Terminale. Il malware GolangGhost è progettato per facilitare il controllo remoto e il furto di dati tramite diversi comandi che permettono di caricare e scaricare file, inviare informazioni sull'host e rubare dati del browser web.

Attività fraudolente globali

Parallelamente, il Google Threat Intelligence Group ha osservato un aumento delle attività fraudolente dei lavoratori IT nordcoreani in Europa. Questi individui si presentano come lavoratori remoti legittimi per infiltrarsi nelle aziende e generare entrate illecite per Pyongyang, violando le sanzioni internazionali. L'attività ha visto un'espansione globale, con diversi profili falsi che cercano lavoro in Germania e Portogallo.

Tentativi di estorsione

Questa operazione ha iniziato a vedere un aumento di tentativi di estorsione, con l'obiettivo di ottenere pagamenti di riscatto dai datori di lavoro per evitare la divulgazione di dati riservati o la loro vendita a concorrenti. Con il nuovo focus su aziende che adottano politiche Bring Your Own Device (BYOD), gli hacker sfruttano l'assenza di strumenti di sicurezza tradizionali su questi dispositivi, dimostrando l'abilità del gruppo di adattarsi rapidamente a nuove circostanze.