Le célèbre groupe de piratage informatique nord-coréen Lazarus aurait adopté des tactiques de « ClickFix » pour déployer des logiciels malveillants ciblant les demandeurs d’emploi dans le secteur des crypto-monnaies, en particulier la finance centralisée (CeFi).
Ce développement, rapporté par Sekoia, est considéré comme une évolution de la campagne « d’entretiens contagieux » de l’acteur de la menace qui cible de la même manière les demandeurs d’emploi dans l’espace de l’IA et de la crypto-monnaie.
ClickFix est une tactique relativement nouvelle mais de plus en plus courante dans laquelle les auteurs de menaces utilisent de fausses erreurs sur des sites Web ou des documents indiquant un problème de visualisation du contenu. La page invite ensuite l’utilisateur à « résoudre » le problème en exécutant des commandes PowerShell qui téléchargent et exécutent le logiciel malveillant sur le système.
Sekoia dit que Lazarus se fait passer pour de nombreuses sociétés bien connues dans la dernière campagne, notamment Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood et Bybit, à qui les acteurs de la menace nord-coréens ont récemment volé un record de 1,5 milliard de dollars.
« En collectant des données (c’est-à-dire des objets JSON) incluses dans tous les faux sites Web d’entretiens que nous avons identifiés, nous avons pu déterminer quelles entreprises étaient inconsciemment utilisées comme leurre pour ces faux entretiens », explique Sekoia.
« Notre analyse est basée sur 184 invitations différentes récupérées sur de faux sites d’interviews. Parmi ces invitations, nous avons trouvé 14 noms d’entreprises utilisés pour inciter la victime à compléter le processus de demande. »
Lazarus adopte ClickFix
Dans une interview contagieuse, documentée pour la première fois en novembre 2023, Lazarus aborde des cibles sur LinkedIn ou X, leur présentant des opportunités d’emploi.
Il a ensuite utilisé des projets de test de logiciels et de codage hébergés sur des plateformes de collaboration telles que GitHub et Bitbucket pour inciter les cibles à télécharger et à exécuter des chargeurs de logiciels malveillants sur leurs systèmes, abandonnant les voleurs d’informations.
À partir de février 2025, Sekoia dit que Lazarus a commencé à utiliser des campagnes dites « ClickFake » qui utilisent des tactiques de ClickFix pour atteindre l’étape d’auto-infection, les phases antérieures de l’attaque restant les mêmes.
Cependant, les chercheurs notent que l’entretien contagieux est toujours en cours, indiquant que les Nord-Coréens évaluent éventuellement l’efficacité des deux techniques tout en les exécutant en parallèle.
Dans les attaques ClickFake, Lazarus est passé du ciblage des développeurs et des codeurs aux personnes occupant des rôles non techniques dans les entreprises CeFi, telles que les développeurs commerciaux et les responsables marketing.
Ces personnes sont invitées à un entretien à distance en suivant un lien vers un site d’apparence légitime construit dans ReactJS, avec des formulaires de contact, des questions ouvertes et une demande d’introduction vidéo.
Lorsque la cible tente d’enregistrer la vidéo à l’aide de sa webcam, une fausse erreur apparaît, affirmant qu’un problème de pilote empêche l’accès à la caméra et génère des instructions sur la façon de surmonter le problème.
Basé sur l’agent utilisateur du navigateur, le site fournit des instructions spécifiques au système d’exploitation, prenant en charge Windows ou macOS.
Les victimes sont invitées à exécuter une commande curl dans CMD (Windows) ou Terminal (macOS) qui les infecte avec une porte dérobée basée sur Go nommée « GolangGhost » et établit la persistance via la modification du registre et les fichiers plist LaunchAgent.
Une fois déployé, GolangGhost se connecte à son serveur de commande et de contrôle (C2), enregistre le périphérique nouvellement infecté avec un identifiant de machine unique et attend les commandes.
Le malware peut effectuer des opérations sur les fichiers, exécuter des commandes shell, voler des cookies Chrome, l’historique de navigation et les mots de passe stockés, ainsi que récolter des métadonnées système.
Alors que Lazarus diversifie ses méthodes d’attaque, les cibles potentielles doivent rester vigilantes et se tenir au courant des derniers développements, en vérifiant systématiquement les invitations à des entretiens avant de télécharger ou d’exécuter quoi que ce soit sur leurs systèmes.
N’exécutez jamais tout ce que vous avez copié à partir d’Internet sur l’invite de commande Windows ou le terminal macOS, surtout si vous ne comprenez pas parfaitement ce qu’il fait.
Sekoia a également partagé les règles Yara que les organisations peuvent utiliser pour détecter et bloquer les fausses activités de clics dans leurs environnements, ainsi qu’une liste complète des indicateurs de compromission associés aux dernières campagnes Lazarus.