Lazarus Group использует вредоносное ПО ClickFix для мошенничества с поддельными собеседованиями на работу

Северокорейская Lazarus Group использует мошенничество ClickFix для проведения поддельных собеседований на работу в сфере криптовалют с целью внедрения вредоносного ПО, кражи данных и финансирования программ режима.

Недавнее расследование SentinelLABS и платформы интернет-аналитики Validin показало, что северокорейские злоумышленники, стоящие за кампанией Contagious Interview, активно злоупотребляют публичными платформами кибербезопасности, такими как Validin, Maltrail и VirusTotal, для совершенствования своей вредоносной деятельности.

Кампания «Заразное интервью», действующая как минимум с 2023 года, нацелена на соискателей работы в сфере криптовалют и блокчейна. Цель кампании — хищение средств, которые идут на поддержку экономики Северной Кореи, находящейся под санкциями, и финансирование её ракетных программ. По широко распространённым оценкам, она является частью более крупной Lazarus Group — государственной структуры, ориентированной на получение доходов для Северной Кореи.

Исследование , предоставленное Hackread.com, показывает, что хакеры используют эти платформы, разработанные для того, чтобы помочь специалистам по кибербезопасности отслеживать угрозы, контролировать свои домены и избегать обнаружения. Серьёзные сбои в системе безопасности операций (OPSEC) раскрывали содержимое файлов и каталогов, что позволило исследователям восстановить хронологию и методы их взлома.

Расследование охватило период с марта по июнь 2025 года и выявило тревожную тенденцию: северокорейские хакеры действуют в составе высокоскоординированных команд, вероятно, используя такие инструменты общения, как Slack .

Когда 11 марта 2025 года Validin опубликовал статью об инфраструктуре группы, хакеры отреагировали в течение нескольких часов, создав учетные записи для поиска информации о своей собственной деятельности.

Даже после того, как Validin заблокировал их первоначальные аккаунты, хакеры продолжали свою деятельность, создавая новые аккаунты с другими адресами электронной почты и поддельными личностями. Некоторые из этих личностей были отсылками к поп-культуре, например, «Рок Ли» и «Мар Вел», в то время как другие выдавали себя за легальные компании. По имеющимся данным, с января по март 2025 года кампания затронула как минимум 230 человек, хотя фактическое число, вероятно, гораздо больше.

Стоит отметить, что хакеры обманывают соискателей, используя метод социальной инженерии ClickFix . Он заманивает жертв на поддельный сайт собеседований, где им показывают вымышленную ошибку, например, проблему с камерой. Затем им предлагают скопировать и вставить команды для исправления проблемы, тем самым незаметно внедряя вредоносное ПО.

Атаки осуществляются с помощью специального инструмента ContagiousDrop, который предназначен для распространения вредоносного ПО под видом обновлений программного обеспечения. Он достаточно умен, чтобы определить, использует ли жертва Windows, macOS или Linux, и затем рассылает соответствующий тип вредоносного ПО.

Исследователи заметили, что эти приложения также имеют встроенную систему уведомлений по электронной почте, которая предупреждает хакеров каждый раз, когда жертва использует поддельную оценку вакансии или загружает вредоносный файл.

Они также подозревают, что хакеры создают базу данных жертв, поскольку журналы сервера злоумышленников содержали подробную информацию о пострадавших лицах, включая их полные имена, адреса электронной почты, номера телефонов и IP-адреса.

Эти жертвы в основном работали в маркетинговых и финансовых сферах в секторе криптовалют и подвергались атакам с поддельными предложениями о работе от таких известных компаний, как Archblock, Robinhood и eToro.

В отчете делается вывод о том, что наиболее важным элементом в предотвращении этой угрозы является человеческий фактор, и соискателям работы рекомендуется «проявлять повышенную бдительность при рассмотрении предложений о трудоустройстве и прохождении связанных с ними оценок».