Kelompok peretasan Lazarus Korea Utara yang terkenal dilaporkan telah mengadopsi taktik ‘clickfix’ untuk menggunakan malware yang menargetkan pencari kerja di industri cryptocurrency, khususnya keuangan terpusat (CEFI).
Perkembangan ini, yang dilaporkan oleh Sekoia, dipandang sebagai evolusi dari kampanye ‘wawancara menular’ aktor ancaman yang juga menargetkan pencari kerja di AI dan ruang cryptocurrency.
Clickfix adalah yang relatif baru tapi taktik yang semakin umum Di mana aktor ancaman menggunakan kesalahan palsu di situs web atau dokumen yang menunjukkan masalah melihat konten. Halaman tersebut kemudian meminta pengguna untuk “memperbaiki” masalah dengan menjalankan perintah PowerShell yang mengunduh dan menjalankan malware pada sistem.
Sekoia mengatakan bahwa Lazarus menyamar sebagai banyak perusahaan terkenal dalam kampanye terbaru, termasuk Coinbase, Kucoin, Kraken, Circle, Securitize, Blockfi, Tether, Robinhood, dan Bybit, dari mana aktor ancaman Korea Utara baru-baru ini baru-baru ini mencuri rekor $ 1,5 miliar.
“Dengan mengumpulkan data (yaitu objek JSON) yang termasuk dalam semua situs web wawancara palsu yang kami identifikasi, kami dapat menentukan perusahaan mana yang secara tidak sadar digunakan sebagai umpan untuk wawancara palsu ini,” Menjelaskan Sekoia.
“Analisis kami didasarkan pada 184 undangan berbeda yang diambil dari situs web wawancara palsu. Di antara undangan ini, kami menemukan 14 nama perusahaan yang digunakan untuk memikat korban agar menyelesaikan proses aplikasi.”
Source: Sekoia
Lazarus mengadopsi clickfix
Di dalam Wawancara menularpertama kali didokumentasikan pada November 2023, Lazarus mendekati target pada LinkedIn atau X, memberi mereka peluang kerja.
Ini kemudian menggunakan perangkat lunak dan proyek pengkodean uji yang di-host di platform kolaborasi seperti GitHub dan Bitbucket untuk menipu target untuk mengunduh dan menjalankan pemuat malware di sistem mereka, menjatuhkan para pencuri info.
Mulai pada bulan Februari 2025, Sekoia mengatakan Lazarus telah mulai menggunakan apa yang disebut kampanye ‘clickfake’ yang menggunakan taktik clickfix untuk mencapai langkah infeksi diri, dengan fase serangan sebelumnya yang tetap sama.
Namun, para peneliti mencatat bahwa wawancara menular masih berlangsung, menunjukkan bahwa Korea Utara mungkin mengevaluasi efektivitas kedua teknik tersebut saat menjalankannya secara paralel.
Dalam serangan Clickfake, Lazarus beralih fokus dari menargetkan pengembang dan coder kepada orang-orang yang memegang peran non-teknis di perusahaan CEFI, seperti pengembang bisnis dan manajer pemasaran.
Orang-orang ini diundang ke wawancara jarak jauh dengan mengikuti tautan ke situs yang muncul sah yang dibangun di ReactJs, menampilkan formulir kontak, pertanyaan terbuka, dan permintaan untuk pengantar video.
Ketika target mencoba merekam video menggunakan webcam mereka, kesalahan palsu muncul, mengklaim masalah driver mencegah akses kamera dan menghasilkan instruksi tentang cara mengatasi masalah tersebut.
Source: Sekoia
Berdasarkan agen pengguna browser, situs ini memberikan instruksi khusus OS, mendukung Windows atau MacOS.
Para korban diinstruksikan untuk menjalankan perintah curl di CMD (Windows) atau Terminal (MacOS) yang menginfeksi mereka dengan pintu belakang berbasis GO bernama ‘Golangghost’ dan membuat kegigihan melalui modifikasi registri dan file plist peluncuran.
.jpg)
Source: Sekoia
Setelah digunakan, Golangghost terhubung ke server perintah dan kontrol (C2), mendaftarkan perangkat yang baru terinfeksi dengan ID mesin yang unik, dan menunggu perintah.
Malware dapat melakukan operasi file, eksekusi perintah shell, mencuri cookie chrome, riwayat penelusuran, dan kata sandi yang disimpan, dan juga memanen metadata sistem.
Karena Lazarus mendiversifikasi metode serangannya, target potensial harus tetap waspada dan tetap mutakhir dengan perkembangan terbaru, secara konsisten memverifikasi undangan wawancara sebelum mengunduh atau menjalankan apa pun di sistem mereka.
Jangan pernah menjalankan apa pun yang telah Anda salin dari Internet di Windows Command Prompt atau Terminal MacOS, terutama jika Anda tidak sepenuhnya memahami apa yang dilakukannya.
Sekoia juga telah berbagi aturan Yara yang dapat digunakan organisasi untuk mendeteksi dan memblokir aktivitas ClickFake di lingkungan mereka, serta daftar lengkap indikator kompromi yang terkait dengan kampanye Lazarus terbaru.
