Trouver un nouvel emploi est difficile, et il est encore plus difficile d'en trouver un qui corresponde à vos compétences, vos ambitions et votre rythme de travail. Si vous êtes dans l'industrie de la technologie, répondre à la mauvaise offre d'emploi peut vous faire risquer votre propre sécurité et celle de vos employeurs actuels, grâce à des applications open source piratées contenant le malware ZetaNile. Voici ce que vous devez savoir
Pourquoi les demandeurs d'emploi sont-ils à risque ?
Le groupe de piratage criminel nord-coréen parrainé par l'État, Lazarus, cible les travailleurs des secteurs de la technologie, de la défense et du divertissement médiatique avec des attaques de spear phishing sur Linkedin.
Selon Centre de renseignements sur les menaces Microsoft (MSTIC), les criminels – également connus sous le nom de ZINC – se font passer pour des recruteurs, s'adressant à des individus dans des secteurs ciblés et les encourageant à postuler à des postes vacants. Après un processus de recrutement apparemment normal, les conversations sont déplacées hors de la plate-forme, avant que les recrues ne soient invitées à télécharger et à installer des applications open source populaires telles que le
Client SSH PuTTY, l'émulateur de terminal KiTTY et le visualiseur TightVNC.Ces outils open source sont couramment utilisés dans le monde de la technologie et sont largement disponibles en ligne gratuitement. charge, mais les versions proposées par Lazarus sur WhatsApp sont piratées pour faciliter la livraison de logiciels malveillants.
Les applications sont distribuées dans le cadre d'un archive zip ou fichier ISO, et ne contiennent pas eux-mêmes le logiciel malveillant. Au lieu de cela, l'exécutable se connecte à une adresse IP spécifiée dans un fichier texte d'accompagnement, à partir duquel le logiciel malveillant ZetaNile est téléchargé et installé.
Lazarus arme la candidature à chaque étape, y compris le formulaire de candidature lui-même. Les candidats sont encouragés à remplir le formulaire à l'aide d'une version détournée de Sumatra PDF Reader.
Qu'est-ce que ZetaNile et à quoi sert-il ?
Une fois la porte dérobée récupérée depuis son emplacement distant, une tâche planifiée est créée, garantissant la persistance. Il copie ensuite un processus système Windows légitime et charge des DLL malveillantes avant de se connecter à un domaine de commande et de contrôle.
À partir de ce moment, un véritable humain contrôle votre machine (malheureusement, ce n'est pas vous). Ils peuvent identifier les contrôleurs de domaine et les connexions réseau, ainsi qu'ouvrir des documents, prendre des captures d'écran et exfiltrer vos données. Les criminels peuvent également installer des logiciels malveillants supplémentaires sur le système cible.
Que devez-vous faire si vous soupçonnez que vous avez le logiciel malveillant ZetaNile ?
Il est peu probable que le demandeur d'emploi sache qu'il a installé un logiciel malveillant sur son réseau d'entreprise, mais MSTIC a a fourni des instructions pratiques aux administrateurs système et aux équipes de sécurité qui doivent recoller les morceaux et nettoyer le désordre:
- Vérifier l'existence de Amazon-Kitty.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, ou SecurePDF.exe sur les ordinateurs.
- Retirer le C:\ProgramData\Comms\colorui.dll, et %APPDATA%\KiTTY\mscoree.dll des dossiers.
- Bloquer l'accès au réseau pour 172.93.201[.]253, 137.184.15[.]189, et 44.238.74[.]84. Ces adresses IP sont codées en dur dans le logiciel malveillant.
- Passez en revue toutes les activités d'authentification pour l'infrastructure d'accès à distance.
- Activer l'authentification multifacteur pour tous les systèmes.
- Éduquez les utilisateurs sur la prévention des infections par des logiciels malveillants, ainsi que sur la protection des informations personnelles et professionnelles.
Ce dernier élément est particulièrement révélateur, et l'aphorisme selon lequel le maillon le plus faible de la chaîne d'approvisionnement de sécurité est l'utilisateur, est vrai pour une raison. Tout problème logiciel ou faille de sécurité peut être corrigé, mais il est difficile d'empêcher la personne derrière le clavier d'installer des packages douteux, surtout si elle est tentée par un nouveau travail bien rémunéré.
Pour les utilisateurs qui sont tentés d'installer des logiciels fragmentaires sur leur ordinateur de travail: ne le faites tout simplement pas. Au lieu de cela, demandez au service informatique de le faire pour vous (ils vous avertiront si quelque chose ne va pas), ou si vous le devez absolument, téléchargez à partir de la source officielle.
Les criminels cherchent toujours un moyen d'accéder aux réseaux
Les secrets d'entreprise sont précieux et il y a toujours des personnes et des groupes à la recherche d'un moyen facile de les obtenir. En ciblant les demandeurs d'emploi, ils peuvent presque garantir que la victime initiale n'impliquera pas l'informatique - personne ne veut être vu postuler à de nouveaux emplois à partir de son ordinateur de travail. Si vous utilisez l'équipement de votre employeur, vous ne devez l'utiliser que pour le travail. Gardez la recherche d'emploi pour votre retour à la maison.
