Cyberprzestępcy opracowali nową, wyrafinowaną metodę infekowania komputerów programistów, wykorzystując proces rekrutacji do pracy w branży IT. Atakujący podszywają się pod pracodawców i zapraszają kandydatów do wykonania zdalnych testów technicznych. W rzeczywistości zadania te są jedynie przykrywką dla złośliwego oprogramowania, które ma na celu przejęcie kontroli nad stacjami roboczymi specjalistów.
Mechanizm ataku opiera się na wykorzystaniu popularnego narzędzia typu „infostealer” o nazwie OtterCookie. Złośliwy kod jest ukryty wewnątrz plików graficznych w formacie SVG, które na pierwszy rzut oka wyglądają jak zwykłe elementy interfejsu lub ikony używane w zadaniach programistycznych. Dzięki temu, że pliki SVG są plikami tekstowymi zawierającymi kod XML, przestępcy mogą łatwo osadzić w nich skrypty JavaScript, które uruchamiają się w momencie otwarcia pliku przez przeglądarkę lub edytor graficzny.
Jak działa mechanizm infekcji
Proces ataku jest wieloetapowy i zaprojektowany tak, aby nie wzbudzać podejrzeń u doświadczonych programistów. Po nawiązaniu kontaktu przez fałszywego rekrutera, kandydat otrzymuje link do repozytorium lub strony z zadaniem. Wewnątrz pakietu z „testem” znajduje się zainfekowany plik SVG.
Główne etapy działania złośliwego oprogramowania obejmują:
Dlaczego OtterCookie jest groźny?
OtterCookie to zaawansowane narzędzie, którego głównym celem jest omijanie zabezpieczeń opartych na uwierzytelnianiu wieloskładnikowym (MFA). Poprzez kradzież aktywnych plików cookie sesji, atakujący nie muszą znać hasła użytkownika ani posiadać dostępu do jego telefonu z kodem weryfikacyjnym. Po prostu „przejmują” sesję przeglądarki, wchodząc do systemów jako zalogowany i zweryfikowany użytkownik.
Warto zauważyć, że na czarnym rynku narzędzia tego typu są oferowane w różnych modelach subskrypcyjnych. Koszt dostępu do podobnych zestawów narzędzi typu „infostealer” często oscyluje w granicach 250 dolarów miesięcznie, co w przeliczeniu daje około 1000 złotych. Niska bariera wejścia sprawia, że coraz więcej grup przestępczych decyduje się na wykorzystywanie tej metody w atakach wymierzonych w sektor technologiczny.
Jak chronić się przed atakami?
Specjaliści ds. cyberbezpieczeństwa zalecają zachowanie szczególnej ostrożności podczas udziału w procesach rekrutacyjnych, zwłaszcza jeśli odbywają się one w pełni zdalnie i wymagają pobierania plików z nieznanych źródeł.
Kluczem do bezpieczeństwa jest weryfikacja źródła zadania rekrutacyjnego. Jeśli test wymaga uruchomienia plików wykonywalnych lub podejrzanych skryptów, należy zachować najwyższą czujność i przeprowadzić analizę w odizolowanym środowisku wirtualnym.
Podstawowe zasady bezpieczeństwa: