کمیته رکن چهارم– در تازهترین تحولات حوزه امنیت سایبری، گروههای وابسته به کره شمالی با بهرهگیری از تکنیکی موسوم به ClickFix، بدافزار جدیدی به نام BeaverTail را از طریق کلاهبرداریهای شغلی مرتبط با رمزارز توزیع کردهاند.
به گزارش کمیته رکن چهارم، این حملات سایبری در قالب آگهیهای استخدامی جعلی انجام شده که افراد در نقشهای بازاریابی و معاملات رمزارز را هدف قرار دادهاند. در این کمپین، مهاجمان از یک پلتفرم جعلی استخدامی استفاده کردهاند و قربانیان را به ارسال ویدیو و اجرای دستوراتی برای رفع یک خطای ساختگی در سیستمعاملشان ترغیب کردهاند؛ دستوراتی که در واقع اجرای بدافزار سبکشده BeaverTail را بههمراه دارد.
بدافزار مذکور که در قالب فایل باینری کامپایلشده برای ویندوز، مکاواس و لینوکس عرضه شده، با هدف سرقت اطلاعات از مرورگرها طراحی شده و نسخه اخیر آن تنها ۸ افزونه مرورگر را هدف قرار میدهد. همچنین، قابلیت سرقت اطلاعات از مرورگرهایی غیر از گوگل کروم حذف شده است. در نسخه ویندوز، اجرای InvisibleFerret وابسته به بارگذاری یک آرشیو فشرده رمزدار است که وابستگیهای Python را در بر دارد.
گزارشها نشان میدهد این کمپین در اواخر مه ۲۰۲۵ آغاز شده و برخلاف نسخههای پیشین که تمرکز اصلی آنها بر توسعهدهندگان نرمافزار بود، اکنون نقشهای غیرفنی را هدف گرفتهاند. این تغییر تاکتیکی میتواند بیانگر تلاش برای نفوذ به سیستمهای افرادی باشد که آگاهی کمتری از تهدیدات سایبری دارند یا ابزارهای فنی برای تشخیص حمله در اختیار ندارند.
همچنین شواهدی از استفاده از پلتفرمهای جعلی برای ایجاد فضای واقعیتر در مصاحبههای استخدامی وجود دارد. هکرها با تقلید از شرکتهای معتبر، سعی در جلب اعتماد قربانیان داشتهاند و بدافزارها را در پوششهایی مانند «ابزار ضروری» یا «بهروزرسانی» ارائه کردهاند. فرآیند آلودگی شامل ثبت آدرس IP، تشویق به ضبط ویدیو، و در نهایت ارائه دستور آلوده بوده است.
این کمپین نشانهای از پویایی و انطباقپذیری بالا در زنجیره حملات سایبری توسط هکرهای دولتی است و هشدار جدی برای فعالان رمزارز و خردهفروشی محسوب میشود. لازم است کاربران به هشدارهای فنی مشکوک و فایلهای اجرایی از منابع ناشناس با دقت بیشتری توجه کنند.
