Хакеры заманивают соискателей работы на собеседования, убеждая пользователей установить специальную программу для коммуникаций, которая содержит вредоносный код. OtterCookie может извлекать сохраненные в браузере учетные данные, пароли, цифровые сертификаты и закрытые ключи от криптовалютных кошельков. Злоумышленники крадут конфиденциальные данные пользователей, при этом особенно просто им извлечь данные из устройств macOS.
Аналитики SlowMist отметили, что подобная тактика становится все более популярной среди хакеров — они стали все реже совершать масштабные эксплойты и предпочитают более изощренные методы, основанные на социальной инженерии. В SlowMist заявили, что за OtterCookie может стоять северокорейская хакерская группа Lazarus, в феврале совершившая крупнейший за всю историю криптовалют взлом криптобиржи Bybit. Потери биржи оцениваются в $1,5 млрд.
Специалисты по безопасности SlowMist призвали специалистов в сфере криптовалют быть осторожными при получении предложений о работе или инвестициях, особенно если при совершении видеозвонков потенциальные работодатели просят загружать какие-либо файлы. Пользователи не должны запускать неизвестные файлы, особенно если они представлены как «технические проблемы» или «пакеты обновлений». Также рекомендуется использовать антивирусы и регулярно проверять системы на аномальную активность.
За последние месяцы хакеры Lazarus стали организовывать атаки на среды разработчиков и инфраструктуру кошельков, в том числе Solana и Exodus. В апреле Федеральное бюро расследований (ФБР), при содействии компании по кибербезопасности Silent Push, заблокировало поддельный веб-сайт фиктивной компании Blocknovas, которая была зарегистрирована хакерами в США.
