Sekoia最近的一份网络安全报告揭示了臭名昭著的朝鲜与朝鲜黑客组织Lazarus Group构成的不断发展的威胁。现在，它利用一种称为“ clickfix”的策略来针对加密货币领域的求职者，尤其是在集中式财务（CEFI）中。

这种方法标志着该小组早期的“传染性访谈”运动的改编，该活动以前旨在人工智能和与加密相关的角色的开发人员和工程师。

拉撒路利用加密货币

在新观察的活动，拉撒路通过模仿Coinbase，Kucoin，Kraken甚至Stablecoin发行人Tether等主要加密公司，将其重点转移给了非技术专业人员，例如营销和业务发展人员。

攻击者建立了模仿工作申请门户的欺诈网站，并通过虚假的面试邀请引诱候选人。这些站点通常包括现实的应用程序表，甚至包括视频介绍的请求，从而培养了合法性的感觉。

但是，当用户尝试录制视频时，向他们显示了一条捏造的错误消息，这通常建议网络摄像头或驱动程序故障。然后，该页面提示用户以故障排除的幌子运行PowerShell命令，从而触发恶意软件下载。

这种ClickFix方法虽然相对较新，但由于其心理简单性而变得越来越普遍 - 因为用户认为他们正在解决技术问题，而不是执行恶意代码。据Sekoia称，该活动借鉴了184个虚假访谈邀请函的材料，至少提到了至少14家知名公司来增强信誉。

因此，最新的策略表明，拉撒路在社会工程学方面的成熟及其在竞争性加密工作市场中利用个人愿望的能力越来越高。有趣的是，这一转变还表明，该小组不仅针对拥有代码或基础架构的人，而且还针对那些可能处理敏感内部数据或可以无意间促进违规行为的人，正在扩大其目标标准。

尽管出现了ClickFix，但Sekoia报告说，原始的传染性访谈活动仍然活跃。这种策略的平行部署表明，朝鲜国家赞助的集体可能正在测试其相对有效性或针对不同目标人口统计的裁缝策略。在这两种情况下，活动都有一个一致的目标 - 通过可信赖的渠道传递信息宣传恶意软件，并将受害者操纵为自感染。

Lazarus Bit Hack背后

联邦调查局（FBI）正式归因于15亿美元袭击了拜百比对拉撒路集团的袭击。针对加密交易所的黑客采用虚假工作要约，诱使员工安装被称为“ TraderTraitor”的受污染的交易软件。

尽管精心设计的是通过跨平台JavaScript和Node.js开发看起来真实的，但应用程序嵌入的恶意软件旨在窃取私钥并在区块链上执行非法交易。