באוקטובר ובנובמבר חלה עלייה בפעילות האקרים מצפון קוריאה, תוך שימוש בשיטה יוצאת דופן להפצת תוכנות זדוניות. תוקפים מדמים את תהליך הראיון כדי להדביק קורבנות בתוכנות זדוניות כגון BeaverTail ו-InvisibleFerret. היעד העיקרי הוא מפתחים הפועלים בתחומים הטכנולוגיים, הפיננסיים והקריפטוגרפיים.
InvisibleFerret הוא תוכנת זדונית מתוחכמת של Python שתוכננה במיוחד כדי לגנוב קוד מקור, ארנקי קריפטו וקבצים רגישים. ההפצה שלו מתחילה בהורדה דרך מודול זדוני אחר, BeaverTail, שמתחזה לתלות תוכנה לגיטימית.
InvisibleFerret משתמש בשירותים כמו "ip-api[.]com" כדי לקבוע את מיקומו של הקורבן, וכן אוספת מידע על מערכת ההפעלה, שם המשתמש והמארח. לאחר מכן, התוכנה הזדונית מתחברת לשרתי פקודה ובקרה באמצעות יציאות חריגות, מה שמקשה על זיהויה.
כדי להעביר נתונים גנובים, InvisibleFerret משתמש במספר שיטות, כולל העלאה לשרתי FTP ושליחה דרך בוטים של טלגרם. התוכנה הזדונית מסוגלת לסכן דפדפנים כמו Chrome, Brave ו-Opera על ידי חילוץ סיסמאות, קובצי Cookie והיסטוריית גלישה. זה גם מכוון להרחבות עבור ארנקי מטבעות קריפטוגרפיים, מנהלי סיסמאות ואפליקציות אימות דו-גורמי.
תכונה חשובה של InvisibleFerret היא היכולת שלו ללכוד שינויים בלוח וליירט קלט מקלדת. זה מאפשר להאקרים לגנוב סיסמאות ומידע רגיש אחר. בנוסף, התוכנה יכולה לסיים דפדפנים פופולריים ולהפעיל את הקישור הבא בשרשרת הזדונית.
מומחי ANY.RUN מנותח בפירוט התנהגות של InvisibleFerret, זיהוי אינדיקטורים מרכזיים של פשרה. התקפות מאורגנות כמו "ראיונות מזויפים" דורשות משאבים משמעותיים, כולל פיתוח תרחישי תקיפה מציאותיים. חוקרים ממליצים בחום למחפשי עבודה לבדוק את האותנטיות של משרות פנויות ולהימנע מהפעלת תוכניות חשודות.
מומחי FACCT חקר תוכנית הונאה חדשה המבוססת על השימוש באפליקציית NFCGate לנייד. לדברי מומחים, בדצמבר 2024 ובינואר 2025 בלבד נרשמו יותר מ-400 התקפות על לקוחות של בנקים מובילים ברוסיה. כמות הנזק הממוצעת הייתה כ -100 אלף רובל.
אפליקציית NFCGate, שפותחה בשנת 2015 על ידי סטודנטים מהאוניברסיטה הטכנית של דרמשטט כפרויקט הוראה, היא תוכנית שנועדה ללכוד, לנטר אָנָלִיזָה תעבורת NFC, על ידי יירוט ושחזור שלה, הופצה באופן חופשי באינטרנט. עם זאת, בנובמבר 2023, הוא שימש לראשונה למטרות פליליות. באוגוסט 2024 התרחשה המתקפה המתועדת הראשונה על לקוחות הבנק הרוסי. פושעים משתמשים באופן פעיל בפונקציה של העברת נתונים בין שני מכשירים שבהם האפליקציה מותקנת.
הונאת NFCGate מורכבת משני שלבים. בשלב הראשון, התוקפים פונים להנדסה חברתית. הנפגע, בתואנה של "הגנה" על כרטיס בנק, פריצת חשבון בפורטל שירותי המדינה, חידוש חוזה סלולר, החלפת פוליסה רפואית, תשלום עבור שירותים או אישור זהות, מוצע להתקין אפליקציה מיוחדת. זה נראה כמו תוכנה לגיטימית של בנק או שירות ממשלתי, אבל במציאות זו תוכנה זדונית המבוססת על NFCGate.
החברה זיהתה יותר מ-100 דוגמאות ייחודיות של תוכנות זדוניות כאלה עבור אנדרואיד. כדי להסוות את עצמם, התוקפים יוצרים יישומים הדומים בשמם לשירותים רשמיים, למשל: "הגנת כרטיס של הבנק המרכזי של הפדרציה הרוסית", "CBReserve+", "אימות שירותים ממשלתיים" ו"תעודת אבטחה".
בנוסף, פושעים משתמשים בטרויאנים עם גישה מרחוק, כגון CraxRAT, המאפשרים התקנת NFCGate ללא ידיעת המשתמש. תוכניות כאלה מופצות באמצעות שליחים מיידיים בצורה של קבצי APK המחופשים לעדכונים של אפליקציות לגיטימיות, כמו גם יישומים מזויפים של שירותי ממשלה, מפעילי טלקום ו אנטי וירוס עַל יְדֵי.
לאחר התקנת אפליקציה מבוססת NFCGate בסמארטפון של הקורבן, המכשיר של התוקף מקבל אות שהוא מוכן להחלפת נתונים. התוכנה הזדונית מבקשת מהקורבן לעבור אימות על ידי הנחת כרטיס בנק בגב הסמארטפון. כאשר המשתמש נוגע בכרטיס למודול NFC, הנתונים הללו מועברים באופן מיידי לסמארטפון של התוקף. בחלק מהמקרים האפליקציה מבקשת קוד PIN, המועבר גם למכשיר העבריין.
אם תוקף נמצא ליד כספומט ונוגע במכשיר שלו בחיישן ה-NFC שלו, מספיק להזין את קוד ה-PIN שהתקבל מהקורבן כדי לגנוב את כל הכספים מהכרטיס תוך דקה. עם זאת, ייתכן שהגניבה לא תתרחש באופן מיידי: הפונקציונליות של NFCGate מאפשרת לך להקליט את נתוני כרטיס הבנק של הקורבן ולשכפל אותם מאוחר יותר, למשל, כדי לאסום את הכרטיס ולבצע רכישות שלאחר מכן. אם הנפגע לא חוסם את הכרטיס לאחר הראשון תַקרִיתתוקפים יכולים למשוך כסף שוב ושוב.
המחקר של החברה חשף תשתית שרת המאפשרת אחסון נתונים גנובים ויצירת גרסאות מעודכנות של NFCGate עבור התקפות ממוקדות. אנליסטים צופים שתוקפים יכולים להציג תכונות חדשות, כולל יירוט SMS והתראות דחיפה, ולהפיץ תוכנה באמצעות מודל Malware-as-a-Service.
