Сложная и целенаправленная кампания социальной инженерии, получившая от Microsoft Threat Intelligence название «Contagious Interview» (Заразительное собеседование), активно компрометирует разработчиков программного обеспечения. Цепочка атаки начинается с очень убедительной приманки: приглашения на фиктивное собеседование на высокооплачиваемую должность разработчика, часто от имени реальных известных компаний. Эти приглашения обычно рассылаются через профессиональные сетевые платформы, такие как LinkedIn, или через прямые электронные письма, которые якобы исходят от корпоративных рекрутеров. Злоумышленники прилагают значительные усилия для создания фальшивых профилей и составления правдоподобных описаний вакансий, чтобы завоевать доверие своих высокоценных целей — профессионалов, имеющих доступ к проприетарному коду и критически важным системам.
Как только цель вовлекается, злоумышленники переводят беседу в основное приложение для обмена сообщениями, такое как Skype или WhatsApp. Под видом технического собеседования «интервьюер» отправляет кандидату файл с задачей по программированию или техническим заданием на проект. Этот файл, часто простой архив (например, .RAR), названный в соответствии с фиктивной вакансией (например, «Test_Project.rar»), является основным вектором атаки. Когда жертва извлекает и открывает содержащийся в архиве файл — обычно это файл ярлыка (.LNK) — запускается сложный многоэтапный процесс заражения. В конечном итоге этот процесс устанавливает мощный бэкдор, идентифицированный Microsoft как вредоносная программа **DARKME**, которая предоставляет злоумышленникам постоянный удаленный доступ к машине жертвы.
Техническое исполнение атаки отличается высокой скрытностью. Исходный файл .LNK использует методы «жизни за счет земли» (living-off-the-land), задействуя легитимные инструменты Windows, такие как `mshta.exe`, для выполнения вредоносного кода JavaScript. Этот скрипт затем загружает полезную нагрузку следующего этапа с контролируемого злоумышленниками сервера. Конечная полезная нагрузка, бэкдор DARKME, представляет собой сложное вредоносное ПО, способное манипулировать файлами, осуществлять эксфильтрацию данных и выполнять произвольные команды, полученные с его командного сервера (C2). Его конструкция позволяет ему маскироваться под обычную активность системы, что затрудняет обнаружение традиционным антивирусным ПО.
Данная кампания подчеркивает критический сдвиг в тактике киберпреступников: использование профессиональных амбиций и формального процесса найма в качестве оружия. Для разработчиков и организаций последствия серьезны. Один скомпрометированный компьютер разработчика может стать плацдармом для кражи интеллектуальной собственности, атак на цепочки поставок или дальнейшего перемещения внутри корпоративной сети. Защита требует повышенной бдительности. Специалисты должны тщательно проверять личность рекрутеров, скептически относиться к собеседованиям, которые минуют стандартные кадровые процедуры, и никогда не запускать файлы из непроверенных источников. Организации должны усилить обучение по вопросам безопасности, уделяя особое внимание этим новым векторам социальной инженерии, и обеспечить наличие надежных решений для обнаружения и реагирования на конечных точках (EDR) для перехвата подобных многоэтапных вторжений.
