Эксперты NorthScan и ANY.RUN впервые смогли наблюдать работу операторов Lazarus в реальном времени, когда группа попыталась завербовать подставного «удалённого разработчика».
Злоумышленники действовали под видом легального работодателя и представлялись именами вроде Aaron и Blaze.
После первоначального контакта они потребовали от кандидата полный доступ к устройству, копии документов и возможность подключаться к ноутбуку круглосуточно. Исследователи использовали виртуальную среду, чтобы записать весь процесс и не раскрывать реальных данных.
На записи видно, что операторы применяли AI-инструменты для проведения собеседований, настраивали удалённое управление через Google Remote Desktop и запускали скрипты для восстановления доступа. Они пытались получить банковскую информацию, обходили двухфакторную аутентификацию и стремились захватить максимально широкий набор персональных данных.
Схема не использует традиционное вредоносное ПО: основной вектор основан на социальной инженерии и захвате учётных записей.
Исследователи отмечают, что Lazarus всё активнее уходит от прямых технических атак к манипуляции через фальшивый найм и доверительные каналы.
Источник
Злоумышленники действовали под видом легального работодателя и представлялись именами вроде Aaron и Blaze.
После первоначального контакта они потребовали от кандидата полный доступ к устройству, копии документов и возможность подключаться к ноутбуку круглосуточно. Исследователи использовали виртуальную среду, чтобы записать весь процесс и не раскрывать реальных данных.
На записи видно, что операторы применяли AI-инструменты для проведения собеседований, настраивали удалённое управление через Google Remote Desktop и запускали скрипты для восстановления доступа. Они пытались получить банковскую информацию, обходили двухфакторную аутентификацию и стремились захватить максимально широкий набор персональных данных.
Схема не использует традиционное вредоносное ПО: основной вектор основан на социальной инженерии и захвате учётных записей.
Исследователи отмечают, что Lazarus всё активнее уходит от прямых технических атак к манипуляции через фальшивый найм и доверительные каналы.
Источник
