伪装成Facebook招聘人员的朝鲜黑客用恶意软件攻击求职者

想要为Meta工作吗？确保这份工作邀请是合法的。朝鲜黑客被发现伪装成Facebook母公司Meta的招聘人员，诱骗用户在电脑上加载恶意软件。

这一发现来自反病毒提供商ESET，该公司最近调查了一家未透露姓名的西班牙航空公司2022年的入侵事件。ESET将此次入侵追踪到LinkedIn上一个由黑客控制的账户，该账户冒充Meta的招聘人员。

疑似朝鲜黑客使用LinkedIn消息联系了这家西班牙航空航天公司的多名员工。ESET称：“袭击者伪装成Meta招聘者，利用工作机会诱惑来吸引目标的注意和信任。”

这位“招聘人员”向未来的员工发送编程挑战或测验，这样他们就可以展示自己的编程技能。但在现实中，编码挑战是恶意的软件包，其中包括一个下载程序，其设计目的是将任何想要的程序部署到受害者计算机的内存中，ESET说。

一旦安装了下载程序，黑客就会发送两个不同的远程访问特洛伊木马程序，可以劫持对PC的访问。其中一个特洛伊木马程序之前曾在臭名昭著的朝鲜集团Lazarus的活动中使用，该集团最出名的可能是他们的加密货币盗窃和2014年索尼影业的黑客攻击。

ESET还指出，上当受骗的员工将“公司电脑用于个人目的”。因此，朝鲜黑客很容易进入这家西班牙航空航天公司的网络。“攻击的最终目标是网络间谍活动”，可能是为了推进朝鲜自己的航空航天和核武器野心。

在这次入侵中，朝鲜黑客还部署了一种新发现的远程访问特洛伊木马，名为“LightlessCan”，被发现相当复杂。例如，它只能在目标受害者的PC上被解密以激活。它还将模仿“一系列原生Windows命令的功能”，以隐藏自己，使其不被检测。

远程访问特洛伊木马程序表明，Lazarus已经找到了进一步阻止反病毒提供商检测其活动的方法。“攻击者现在可以显著限制他们最喜欢的Windows命令行程序的执行痕迹，这些程序在他们的安全攻击后活动中被大量使用，”ESET补充道。这一行动具有深远的影响，影响了实时监测解决方案和尸检数字取证工具的有效性。