Credevo fosse lavoro e invece era un cryptominer: il malware viaggia su LinkedIn

Bitdefender ha pubblicato una ricerca su una campagna attiva del gruppo Lazarus (APT38), legato alla Corea del Nord. La campagna ha come obiettivo le aziende e mira a impossessarsi delle credenziali d’accesso e diffondere vari malware attraverso false offerte di lavoro su LinkedIn, diventato recentemente anche un terreno fertile per i criminali informatici che ne sfruttano la credibilità tra false offerte di lavoro, elaborati schemi di phishing, truffe e persino minacce sponsorizzate dagli Stati che sfruttano le prospettive di crescita professionale delle persone e la fiducia nelle reti professionali.
Per fare luce su questi scenari, Bitdefender ha analizzato le tattiche ingannevoli di un’operazione di “reclutamento” fallita su LinkedIn, in cui i criminali informatici hanno preso di mira un ricercatore di Bitdefender che ha rapidamente scoperto il loro intento malevolo.
La campagna utilizza offerte di lavoro fasulle come esca e inizia con l’offerta di collaborare a uno scambio di criptovalute decentralizzato. Una volta adescati, i criminali informatici chiedono il CV della vittima o il link al repository GitHub personale per raccogliere informazioni, per poi condividere un repository contenente il “prodotto minimo funzionante (MVP) del progetto e un link a una demo. La vittima viene così indotta a fare clic sul link e a eseguire il codice dannoso, che contiene una backdoor, un infostealer, un keylogger e un cryptominer.
Un altro recente attacco sempre a sfondo “lavorativo” ha riguardato una campagna phishing con false offerte di lavoro per diffondere il cryptominer XMRig. Gli attaccanti hanno impersonato CrowdStrike inviando email con proposte di lavoro per il ruolo di sviluppatore junior e invitando i candidati a scaricare un’applicazione CRM da un portale fraudolento.
Il sito malevolo offriva download per Windows e macOS e in entrambi i casi si trattava di un’eseguibile scritto in Rust e dotato di meccanismi di evasione come rilevamento di debugger e controllo CPU. Dopo questi controlli, il malware mostrava un finto errore mentre avviava il cryptominer in background, consumando poche risorse per evitare il rilevamento e mantenendo la persistenza nel sistema.