Не работает камера на собеседовании. Решение: curl | sudo bash. Что может пойти не так? Северокорейская Lazarus Group (она же Famous Chollima, DEV#POPPER) теперь использует набирающий популярность метод социнженерии ClickFix для доставки ранее неизвестного бэкдора GolangGhost, написанного на Go, на системы Windows и macOS. Цель – сотрудники крипто-компаний.Атака начинается стандартно: контакт через LinkedIn или X с предложением работы (имперсонируют Coinbase, KuCoin, Kraken, Circle и др. – теперь фокус на централизованных финансах, а не только DeFi). Кандидата приглашают на видеоинтервью через якобы легитимную платформу (например, Willo). В процессе "настройки" возникает фейковая ошибка ("необходим драйвер для камеры/микрофона") – тут и применяется ClickFix.Механика ClickFix различается по ОС:* На Windows: Жертву просят открыть Command Prompt и выполнить команду `` curl `` для загрузки и запуска VBS-скрипта. Тот, в свою очередь, дергает batch-скрипт, который уже разворачивает GolangGhost.* На macOS: Пользователя просят запустить Terminal и выполнить аналогичную команду `` curl `` для запуска shell-скрипта. Этот скрипт запускает второй shell-скрипт, который устанавливает стилер FROSTYFERRET (он же ChromeUpdateAlert) и сам бэкдор GolangGhost.Стилер FROSTYFERRET показывает поддельное окно запроса доступа к камере/микрофону от имени Chrome и затем системное окно для ввода пароля. Введенный пароль (валидный или нет) отправляется злоумышленникам (вероятно, для доступа к iCloud Keychain). GolangGhost – это бэкдор с функциями удаленного управления: загрузка/выгрузка файлов, отправка информации о хосте, кража данных веб-браузеров.Важное изменение в таргетинге: Атакуют теперь в основном не технических специалистов – менеджеров по развитию бизнеса, управлению активами, разработке продуктов, специалистов по DeFi. Ранее основной целью были разработчики и инженеры.Google (GTIG) сообщает, что мошенническая схема с IT-работниками из КНДР, которые под видом легитимных удаленщиков внедряются в компании для шпионажа и заработка, активно расширяется на Европу (Германия, Португалия, UK). Они используют фейковые профили, площадки вроде Upwork, Telegram, получают оплату криптой (TransferWise, Payoneer). Целятся в компании с политикой BYOD (там меньше контроля) и все чаще прибегают к шантажу работодателей, угрожая слить данные.---Рынок труда настолько суров, что люди готовы запускать шелл-скрипты от анонимусов, лишь бы получить оффер... даже от Ким Чен Ына Типичный Сисадмин
