Trovare un nuovo lavoro è difficile, ed è ancora più complicato trovarne uno che si adatti alle tue capacità, alle tue ambizioni e al tuo modello di lavoro. Se operi nel settore tecnologico, rispondere all'annuncio di lavoro sbagliato può metterti a rischio per la tua sicurezza e quella dei tuoi attuali datori di lavoro, grazie alle app hackerate open source che trasportano il malware ZetaNile. Ecco cosa devi sapere
Perché le persone in cerca di lavoro sono a rischio?
Il gruppo di hacking criminale nordcoreano sponsorizzato dallo stato, Lazarus, prende di mira i lavoratori nei settori della tecnologia, della difesa e dell'intrattenimento multimediale con attacchi di spear phishing su Linkedin.
Secondo Microsoft Threat Intelligence Center (MSTIC), i criminali, noti anche come ZINC, si atteggiano a reclutatori, contattando individui in settori mirati e incoraggiandoli a candidarsi per posizioni aperte. Dopo un processo di reclutamento apparentemente normale, le conversazioni vengono spostate fuori dalla piattaforma, prima che alle reclute venga chiesto di scaricare e installare app open source popolari come
Client PuTTY SSH, l'emulatore di terminale KiTTY e TightVNC Viewer.Questi strumenti open source sono comunemente usati nel mondo della tecnologia e sono ampiamente disponibili online gratuitamente addebito, ma le versioni offerte da Lazarus su WhatsApp sono compromesse per facilitare la consegna di malware.
Le app sono distribuite come parte di a archivio zip o ISO e non contengono di per sé il malware. Invece, l'eseguibile si connette a un indirizzo IP specificato in un file di testo allegato, da dove viene scaricato e installato il malware ZetaNile.
Lazarus utilizza come arma la domanda di lavoro in ogni fase, incluso il modulo di domanda stesso: i candidati sono incoraggiati a compilare il modulo utilizzando una versione sovvertita di Sumatra PDF Reader.
Cos'è ZetaNile e cosa fa?
Una volta che la backdoor è stata recuperata dalla sua posizione remota, viene creata un'attività pianificata, che garantisce la persistenza. Quindi copia un processo di sistema Windows legittimo e carica DLL dannose prima di connettersi a un dominio di comando e controllo.
Da questo punto, un vero essere umano ha il controllo della tua macchina (purtroppo non sei tu). Possono identificare i controller di dominio e le connessioni di rete, nonché aprire documenti, acquisire schermate ed esfiltrare i tuoi dati. I criminali possono installare malware aggiuntivo anche sul sistema di destinazione.
Cosa dovresti fare se sospetti di avere ZetaNile Malware?
È improbabile che la singola persona in cerca di lavoro sia consapevole di aver installato malware sulla propria rete aziendale, ma MSTIC sì ha fornito alcune utili istruzioni per gli amministratori di sistema e i team di sicurezza che devono raccogliere i pezzi e pulire il file disordine:
- Verificare l'esistenza di Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, O SecurePDF.exe sui computer.
- Rimuovi il C:\ProgramData\Comms\colorui.dll, E %APPDATA%\KiTTY\mscoree.dll File.
- Blocca l'accesso alla rete a 172.93.201[.]253, 137.184.15[.]189, E 44.238.74[.]84. Questi IP sono codificati nel malware.
- Esaminare tutte le attività di autenticazione per l'infrastruttura di accesso remoto.
- Abilita l'autenticazione a più fattori per tutti i sistemi.
- Istruisci gli utenti sulla prevenzione delle infezioni da malware e sulla protezione delle informazioni personali e aziendali.
Quest'ultimo elemento è particolarmente significativo e l'aforisma secondo cui l'anello più debole nella catena di approvvigionamento della sicurezza è l'utente è vero per un motivo. Qualsiasi problema software o falla di sicurezza può essere risolto, ma è difficile impedire alla persona dietro la tastiera di installare pacchetti poco raccomandabili, specialmente se è tentata da un nuovo lavoro ben pagato.
Per gli utenti che sono tentati di installare software impreciso sul tuo computer di lavoro: semplicemente non farlo. Invece, chiedi all'IT di farlo per te (ti avviseranno se qualcosa non va), o se devi assolutamente, quindi scarica dalla fonte ufficiale.
I criminali sono sempre alla ricerca di un modo per entrare nelle reti
I segreti aziendali sono preziosi e ci sono sempre persone e gruppi che cercano un modo semplice per impossessarsene. Prendendo di mira le persone in cerca di lavoro, possono quasi garantire che la vittima iniziale non coinvolga l'IT: nessuno vuole essere visto fare domanda per un nuovo lavoro dal proprio computer di lavoro. Se stai usando l'attrezzatura del tuo datore di lavoro, dovresti usarla solo per lavoro. Risparmia la ricerca di lavoro per quando torni a casa.
