Logo Tiskovec.cz Tiskovec.cz
Zveřejnit tiskovku
ESET··8 min

ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

ESET

ESET

ESET spol. s r.o. je slovenská softwarová firma, která se specializuje na kybernetickou bezpečnost. ESET vyvíjí a poskytuje bezpečnostní software ve více než 200 zemích světa. Společnost vznikla formálně v roce 1992 v Bratislavě v Československu, nicméně první antivirový program vyvinuli její později spoluzakladatelé Miroslav Trnka a Peter Paško již v roce 1987. V současnosti je ESET pravidelně oceňován jako nejúspěšnější slovenská firma roku.

Tisková zpráva
  • Cílem útočníků, které ESET označuje názvem DeceptiveDevelopment, jsou nezávislí vývojáři softwaru. Útočí na ně pomocí spearphishingových kampaní přes pracovní platformy a webové stránky. Cílem je krádež přístupových údajů do kryptoměnových peněženek a přihlašovacích údajů z webových prohlížečů a správců hesel.
  • Mezi platformy, na kterých útočníci operují, patří například LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List.
  • Útočníci využívají primárně dvě rodiny škodlivých kódů – BeaverTail, škodlivý kód s funkcemi infostealeru a downloaderu, a InvisibleFerret, který funguje také jako infostealer a Remote Access Trojan (RAT).
  • Aktivity skupiny DeceptiveDevelopment jsou po technické stránce podobné několika dalším známým operacím, které jsou připisovány útočníkům napojeným na režim v Severní Koreji. Skupina útočí globálně s cílem co největšího finančního zisku. Její aktivity zachytili experti z ESETu také v České republice.

Výzkumní analytici kyberbezpečnostní společnosti ESET nově popsali aktivity skupiny útočníků, kterou nazvali DeceptiveDevelopment. Útočníci se v těchto případech vydávají za náboráře a své oběti z řad vývojářů softwaru lákají na falešné pracovní nabídky. Obětem se snaží „podstrčit“ soubory s projektem k vypracování v rámci domnělého výběrového řízení, ty ale obsahují škodlivé kódy určené ke krádežím informací a kyberšpionáži. Cílem útočníků je finanční zisk, a to konkrétně získání přístupových údajů do kryptoměnových peněženek obětí. Aktivity skupiny se po technické stránce podobají operacím, za kterými stojí útočné skupiny napojené na Severní Koreu, v tuto chvíli však nejsou připisovány žádné známé skupině útočníků. Své oběti si útočníci vybírají globálně s účelem okrást co nejvíce lidí. Odhalené aktivity pozorovali experti z ESETu také v Česku.

Kyberbezpečnostní analytici společnosti ESET pozorují sérii popsaných aktivit již od roku 2024. Oběťmi útoků jsou nezávislí vývojáři softwaru, které se útočníci snaží manipulovat prostřednictvím spearphishingových útoků. Nabízejí obětem falešné nabídky práce na pracovních platformách a webových stránkách. Cílem je odcizit přístupové údaje do jejich kryptoměnových peněženek a další přihlašovací údaje uložené ve webových prohlížečích a specializovaných programech pro správu hesel, tzv. správcích hesel.

„Útočníci z DeceptiveDevelopment v rámci falešného pracovního pohovoru od svých obětí požadují, aby absolvovali test programování. Mají například přidat funkce do existujícího projektu. Soubory určené ke splnění tohoto úkolu jsou obvykle umístěny v soukromých repozitářích na GitHubu nebo na jiných podobných platformách. Nadšený kandidát na zajímavou pracovní pozici se ale v tomto případě setká se soubory obsahujícími malware. Jakmile soubor s projektem stáhne a spustí, dojde ke kompromitaci jeho zařízení,” vysvětluje Matěj Havránek, výzkumný analytik z pražské pobočky společnosti ESET, který aktivity DeceptiveDevelopment objevil a analyzoval.

„Aby se útočníci dostali ke svým potenciálním obětem, vytvářejí falešné profily náborářů na sociálních sítích nebo zneužívají již existující profily. Geograficky své oběti nerozlišují a případy jejich aktivit evidujeme celosvětově. Několik desítek případů jsme zachytili také v České republice. Snaží se zacílit na co největší počet lidí, aby tím zvýšili pravděpodobnost zisku finančních prostředků a informací,“ doplňuje Havránek.

Výběrové řízení, za které uchazeči zaplatí až příliš velkou cenu

Taktiky, techniky a postupy skupiny DeceptiveDevelopment jsou podobné několika dalším známým operacím, které jsou spojovány s jinými severokorejskými útočníky. Útočníci z DeceptiveDevelopment cílí na vývojáře operačních systémů Windows, Linux a macOS. Kromě finančního zisku z krádeží kryptoměn může být jejich dalším cílem také kyberšpionáž.

Útočníci primárně využívají při svých škodlivých aktivitách dvě rodiny malwaru. Útok probíhá ve dvou fázích. V první fázi slouží škodlivý kód BeaverTail (infostealer a downloader) k odcizení přihlašovacích údajů z databází webových prohlížečů a ke stažení škodlivých kódů pro druhou fázi. V té pak útočníci zapojí škodlivý kód InvisibleFerret (infostealer, RAT), který obsahuje také funkce spywaru a tzv. zadních vrátek (backdooru). Poté, co dojde k napadení zařízení a odcizení cílových údajů, mohou útočníci do zařízení stáhnout také legitimní software AnyDesk pro vzdálenou správu a monitorování. Pokud jim totiž zařízení oběti přijde dostatečně zajímavé, později se k němu vrátí, aby získali další data.

„Útočníci vydávající se za náboráře pak přímo oslovují své potenciální oběti na pracovních platformách a platformách pro freelancery, nebo tam zveřejňují falešné pracovní nabídky. Zatímco některé profily útočníci sami vytvoří, v některých případech se jedná také o profily skutečných náborářů, nad kterými útočníci převzali kontrolu a upravili je pro své účely. Některé z těchto platforem jsou obecně určené k hledání a nabídkám práce, jiné se ale již primárně zaměřují na kryptoměnové a blockchainové projekty a jsou tedy více v souladu s cíli útočníků. Mezi platformy, na kterých útočníci operují, patří například známý LinkedIn a dále například Upwork, Freelancer.com, We Work Remotely, Moonlight a Crypto Jobs List,“ vysvětluje Havránek.

Oběti obdrží soubory s projekty buď přímo prostřednictvím přenosu souborů v rámci webových stránek, nebo prostřednictvím odkazu na repozitáře služeb GitHub, GitLab nebo Bitbucket. Útočníci instruují vývojáře k tomu, aby soubory stáhli, přidali do projektů funkce či opravili chyby a následně domnělému náboráři dali vědět o dokončení požadovaného úkolu. Kromě toho po nich útočníci také chtějí, aby upravený soubor spustili a tím otestovali. Právě v této části útočného scénáře dojde k nakažení zařízení škodlivými kódy. Útočníci k tomu, aby ukryli škodlivé kódy v souboru s projektem, využívají chytrý trik – umístí je do jinak neškodné části souboru, obvykle do kódu, který nijak s úkolem nesouvisí a zůstává skrytý.

„Útočníci z DeceptiveDevelopment jsou další skupinou, která svými postupy a technikami doplňuje a rozšiřuje řady aktérů napojených na režim v Severní Koreji. Jejich aktivity jsou také v souladu s pokračujícím trendem, kdy se pozornost útočníků přesouvá z tradičních peněz na kryptoměny,“ uzavírá Havránek z ESETu.

Více podrobností o aktivitách DeceptiveDevelopment

Podrobné technické informace o skupině útočníků DeceptiveDevelopment najdete na webu welivesecurity.com.

Další informace

Více informací o trendech v kyberbezpečnosti pro širokou veřejnost najdete například v online magazínu Dvojklik.cz nebo v online magazínu o IT bezpečnosti pro firmy Digital Security Guide. Nejčastějším rizikům pro děti na internetu se věnuje iniciativa Safer Kids Online, která má za cíl pomoci nejen jejich rodičům, ale také například učitelům či vychovatelům zorientovat se v nástrahách digitálního světa.

Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET, v podcastu TruePositive a na našich sociálních sítích Facebook, Instagram, LinkedIn a X.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio řešení od ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři výzkumná a vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Zdroj: www.eset.com

Další články

Další články od ESET

ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

Výzkumní analytici kyberbezpečnostní společnosti ESET nově popsali aktivity skupiny útočníků, kterou nazvali DeceptiveDevelopment. Útočníci se v těchto případech vydávají za náboráře a své oběti z řad vývojářů softwaru lákají na falešné pracovní nabídky. Obětem se snaží „podstrčit“ soubory s projektem k vypracování v rámci domnělého výběrového řízení, ty ale obsahují škodlivé kódy určené ke krádežím informací a kyberšpionáži. Cílem útočníků je finanční zisk, a to konkrétně získání přístupových údajů do kryptoměnových peněženek obětí. Aktivity skupiny se po technické stránce podobají operacím, za kterými stojí útočné skupiny napojené na Severní Koreu, v tuto chvíli však nejsou připisovány žádné známé skupině útočníků. Své oběti si útočníci vybírají globálně s účelem okrást co nejvíce lidí. Odhalené aktivity pozorovali experti z ESETu také v Česku.
| ESET
ESET: Více než polovina lednových útoků na Česko měla za cíl naše přihlašovací údaje

ESET: Více než polovina lednových útoků na Česko měla za cíl naše přihlašovací údaje

Na základě lednové statistiky kybernetických hrozeb pro operační systém Windows v Česku opět stoupla aktivita škodlivých kódů Formbook a Agent.AES. Oba jsou přitom v posledních měsících v bezpečnostní komunitě skloňovány jako pokračovatelé a nástupci spywaru Agent Tesla, jehož detekční čísla nadále klesají. V lednu se v Česku objevovaly spíše globálně cílené kampaně a české překlady názvů nebezpečných e-mailových příloh byly spíše výjimkou. Vyplývá to z detekčních dat společnosti ESET. Bezpečnostní experti kromě profesionální ochrany v podobě moderního bezpečnostního řešení doporučují pečlivě kontrolovat přípony názvů příloh v e-mailové komunikaci. Uživatele mohou upozornit na to, že otevírají nějaký spustitelný soubor, a ne dokument ve formátu PDF či soubor programu MS Word nebo Excel.
| ESET
Průzkum ESET: Třetina Čechů nemá přehled o obsahu smartphonu, pětina si není jistá jeho zabezpečením

Průzkum ESET: Třetina Čechů nemá přehled o obsahu smartphonu, pětina si není jistá jeho zabezpečením

Třetina českých uživatelů a uživatelek nemá přehled o nainstalovaných aplikacích ve svém chytrém telefonu a pětina z nich nijak neomezuje jejich oprávnění. Vyplývá to z nového průzkumu společnosti ESET. Bezpečnostní řešení pro ochranu svých dat využívá necelá polovina dotázaných. Pětina přitom vůbec netuší, zda je takový program v jejich mobilních telefonech nainstalovaný. Nejčastěji se při stahování aplikací setkáváme s jejich nefunkčností a s příliš velkým množstvím reklam. I škodlivá reklama přitom může podle kyberbezpečnostních expertů představovat rizika pro naše soukromí a data.
| ESET
Michal Červenka marketingovým ředitelem české pobočky ESET

Michal Červenka marketingovým ředitelem české pobočky ESET

Novým ředitelem marketingu v české pobočce společnosti ESET, předního poskytovatele kyberbezpečnostních řešení pro firmy a domácnosti, se stal Michal Červenka. Ze své pozice bude zodpovědný za marketingovou komunikaci, podporu online i offline prodejních kanálů či Public Relations a vedení jednotlivých týmů marketingového oddělení společnosti ESET v Praze.
| ESET
Hrozby pro Android: Útočníci ví, že se chceme bavit – koncem roku vsadili na falešné Spotify a Amazon Prime Video

Hrozby pro Android: Útočníci ví, že se chceme bavit – koncem roku vsadili na falešné Spotify a Amazon Prime Video

Prosincová statistika nejčastějších kybernetických hrozeb nepřinesla žádné větší zvraty a s největším počtem detekcí bezpečnostní experti opět zachytili adware Andreed. Od listopadu pak mírně posílil trojský kůň Agent.GKE a do třetice se v Česku nejvíce vyskytoval škodlivý kód FakeApp.AHS. Škodlivé kódy tentokrát nejvíce šířily hry doplněné falešnou aplikací Spotify a Amazon Prime Video. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v České republice od společnosti ESET.
| ESET
Hrozby pro macOS: Škodlivé kódy ukrývá online reklama, cílem jsou kryptopeněženky

Hrozby pro macOS: Škodlivé kódy ukrývá online reklama, cílem jsou kryptopeněženky

Také v posledním čtvrtletí loňského roku byl největší hrozbou na platformě macOS v Česku a na Slovensku adware Pirrit. Jeho přítomnost opět potvrdila pravidelná statistika kybernetických hrozeb od společnosti ESET za období od října do prosince 2024. Stejně jako v předchozím období jej opět v deseti procentech případů doplnil také infostealer PSW.Agent. Útočníci jej využívají ke krádežím dat pro přístup do kryptoměnových peněženek, dokumentů programů Word či Excel, krádežím přihlašovacích údajů z prohlížečů nebo souborů cookies. Útočníci k jeho šíření využívají reklamy v systému Googlu.
| ESET
ESET: Závěr roku potvrdil změny v rozložení kyberhrozeb v Česku, v čele se nadále drží škodlivý kód Formbook

ESET: Závěr roku potvrdil změny v rozložení kyberhrozeb v Česku, v čele se nadále drží škodlivý kód Formbook

Na poli kybernetických hrozeb v České republice se potvrzují predikce bezpečnostních expertů z konce loňského roku. Spyware Agent Tesla se již několikátý měsíc objevuje pouze v několika jednotkách procent případů a pro následující období se očekává jeho další oslabování a postupné vymizení ze statistik. Škodlivý kód Formbook sice nezopakoval skoro poloviční podíl všech detekcí z loňského listopadu, i s podílem 15 % všech zachycených hrozeb však nadále vede pravidelnou statistiku pro operační systém Windows. Bezpečnostní experti situaci v Česku monitorují a očekávají další možné změny v rozložení škodlivého kódu. Vyplývá to z detekčních dat společnosti ESET.
| ESET
Globální vývoj kyberhrozeb od ESET: Sociální sítě zaplavil nový typ investičního podvodu, jehož součástí je deepfake

Globální vývoj kyberhrozeb od ESET: Sociální sítě zaplavil nový typ investičního podvodu, jehož součástí je deepfake

Společnost ESET vydala svou nejnovější zprávu ESET Threat Report H2 2024. Zpráva shrnuje globální vývoj kybernetických hrozeb na základě dat z telemetrie a odborného pohledu analytiků společnosti, a to od června do listopadu 2024. Během tohoto období výrazně narostl počet investičních podvodů, a to o více než 335 % mezi prvním a druhým pololetím roku 2024. Investiční podvody v popsaném scénáři zaplavují sociální sítě a pomocí nástrojů umělé inteligence zneužívají jména známých osobností či firem. Nejvíce detekcí zachytili experti z ESETu v Japonsku, na Slovensku, v Kanadě, ve Španělsku a v České republice. Zpráva Threat Report H2 2024 se dále věnuje například rostoucím útokům na kryptoměnové peněženky, nástupu infostealeru Formbook či aktuálním proměnám ransomwarové scény.
| ESET
Přehled hrozeb pro Android: Adware doplnil v listopadu dropper v podobě falešné modifikace pro Roblox

Přehled hrozeb pro Android: Adware doplnil v listopadu dropper v podobě falešné modifikace pro Roblox

Ačkoli ještě v říjnu bezpečnostní experti zaznamenali v Česku větší příliv falešných verzí her různých žánrů, v listopadu evidovali na platformě Android v Česku výraznější útlum v počtu škodlivých kódů. Dlouhodobě přítomný adware Andreed se objevil pouze v desetině všech zachycených případů. Tentokrát na sebe spíše upozornil škodlivý kód typu dropper, který útočníci vydávali za herní modifikaci pro platformu Roblox. Ukrýval trojského koně Agent.GKE. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v České republice od společnosti ESET.
| ESET
Komentář ESET: Rok 2025 bude ve znamení hrozeb pro platformu iOS a phishingových útoků generovaných AI

Komentář ESET: Rok 2025 bude ve znamení hrozeb pro platformu iOS a phishingových útoků generovaných AI

Experti společnosti ESET reflektují vývoj hrozeb v letošním roce a nabízí výhled do aktuálních kyberbezpečnostních témat pro nadcházející měsíce roku 2025.
| ESET