Les chercheurs d’ESET Research ont mis en lumière une opération de cybercriminalité d’une ampleur inquiétante, orchestrée par un groupe nord-coréen baptisé DeceptiveDevelopment.
Cette campagne, d’une sophistication remarquable, cible spécifiquement les développeurs indépendants à travers le monde, exploitant la popularité croissante des plateformes de recrutement et de freelance. Les plateformes telles que LinkedIn, Upwork, Freelancer.com, We Work Remotely, Moonlight et Crypto Jobs List sont devenues les terrains de chasse privilégiés de ce groupe, qui y déploie des techniques de phishing élaborées pour piéger ses victimes.
Une stratégie de phishing élaborée : fausses offres d’emploi et entretiens fictifs
Le modus operandi de DeceptiveDevelopment repose sur une approche méticuleuse et trompeuse. Les cybercriminels se font passer pour des recruteurs légitimes, publiant de fausses offres d’emploi alléchantes pour attirer les développeurs. Une fois le contact établi, ils organisent de faux entretiens d’embauche et proposent des tests techniques en apparence anodins. Ces tests impliquent l’exécution de projets codés, souvent hébergés sur des plateformes de développement collaboratif comme GitHub. Cependant, ces fichiers contiennent en réalité des logiciels malveillants sophistiqués, conçus pour compromettre les systèmes des victimes à leur insu.
Des outils malveillants redoutables : BeaverTail et InvisibleFerret
L’arsenal de DeceptiveDevelopment comprend deux familles de malwares particulièrement dangereuses, agissant en synergie pour maximiser l’impact de leurs attaques :
- BeaverTail : Ce malware agit comme un voleur de données et un téléchargeur. Il est conçu pour extraire les identifiants stockés dans les navigateurs des victimes, permettant ainsi aux attaquants d’accéder à leurs comptes en ligne. De plus, il sert de vecteur pour l’installation du second malware, InvisibleFerret.
- InvisibleFerret : Ce malware combine des fonctionnalités d’espionnage avancées avec une porte dérobée permettant un accès distant non autorisé. Il peut surveiller les activités des victimes, voler des données sensibles et exécuter des commandes à distance. De plus, il est capable d’installer AnyDesk, un logiciel de contrôle à distance légitime, afin de garantir un accès persistant aux systèmes compromis.
L’objectif principal de ces attaques est le vol de cryptomonnaies et de données sensibles, mais la possibilité d’opérations d’espionnage informatique ne peut être écartée.
Techniques de tromperie et de dissimulation
DeceptiveDevelopment utilise plusieurs techniques pour tromper ses victimes :
- Usurpation d’identité : Création de faux profils de recruteurs ou usurpation de l’identité de professionnels existants.
- Comptes piratés : Utilisation de comptes légitimes compromis pour gagner la confiance des victimes.
- Dissimulation de code malveillant : Insertion de code malveillant caché dans le code source des projets, souvent dissimulé dans de longs commentaires pour échapper à la détection.
Une menace persistante et en évolution
DeceptiveDevelopment cible les développeurs travaillant sur Windows, Linux et macOS, sans distinction géographique. Cette approche démontre la portée mondiale de la menace et la capacité du groupe à s’adapter à différents environnements techniques.
Recommandations de sécurité
Face à cette menace, il est crucial de renforcer la vigilance et d’adopter des mesures de sécurité rigoureuses :
- Vérifier l’authenticité des offres d’emploi et des recruteurs.
- Utiliser des solutions de sécurité avancées et à jour.
- Éviter d’exécuter des fichiers provenant de sources non fiables.
- Maintenir un niveau de prudence élevé face aux communications non sollicitées, en particulier celles proposant des opportunités d’emploi ou des collaborations.
La découverte de DeceptiveDevelopment souligne l’importance de la cybersécurité dans un monde où le travail en ligne est de plus en plus répandu. La vigilance et la prudence sont essentielles pour se protéger contre ces menaces sophistiquées.
