Внимание: новая мошенническая схема при собеседованиях, нацеленная на пользователей macOS и Windows

Новая вредоносная кампания нацелена на соискателей работы, эксплуатируя их желание получить работу путем требования установки вредоносного ПО, замаскированного под программу для собеседований. Эта схема особенно опасна, так как она специально нацелена на пользователей как macOS, так и Windows, используя методы социальной инженерии для обхода мер безопасности.

Как работает мошенническая схема

Мошенничество проходит по тщательно продуманной схеме:

1. Соискатели получают приглашение на собеседование от якобы легитимной компании
2. Прямо перед собеседованием их информируют, что оно будет проводиться через определенное приложение
3. При попытке скачать приложение их перенаправляют на процесс регистрации
4. После регистрации они получают “код синхронизации”
5. После загрузки и запуска установщика пользователя просят запустить скрипт через терминал или консоль

Что делает эту схему особенно опасной - это психологическая манипуляция, создающая чувство срочности и легитимности вокруг возможности трудоустройства, что заставляет жертв игнорировать обычные меры предосторожности.

Технический анализ вредоносного ПО

Давайте рассмотрим, как работает это вредоносное ПО, используя реальный пример, который я недавно проанализировал (пример домена: talkon.app/connect - не посещайте эту ссылку, так как она вредоносная).

Вредоносный скрипт использует несколько обманных техник:

# Пример структуры вредоносного скрипта (НЕ ВЫПОЛНЯТЬ):
encoded_string1="[base64 data]"
encoded_string2="[base64 data]"
encoded_string3="[base64 data]"

combined=$(echo "$encoded_string1$encoded_string2$encoded_string3" | base64 -d)
eval "$combined"

При декодировании скрипта мы обнаруживаем несколько тревожных действий:

1. Скрытое выполнение кода: Использует base64 кодирование для сокрытия истинного назначения
2. Скрытные операции: Работает со скрытыми файлами (с префиксом ‘.’)
3. Внешний код: Выполняет код из внешнего тома с названием “TalkOn_Setup”
4. Манипуляции с системой: Копирует файлы в системные директории и изменяет разрешения
5. Подавление ошибок: Минимизирует сообщения об ошибках для избежания обнаружения

При попытке доступа с устройства iOS, вредоносное ПО покажет, что ОС не поддерживается.

На что обращать внимание

При поиске работы остерегайтесь следующих признаков:

1. Требование установки ПО: Легитимные компании обычно используют известные платформы как Zoom, Teams или Google Meet
2. Необычный процесс загрузки: Множественные шаги, требования регистрации и коды синхронизации подозрительны
3. Команды терминала: Никакое легитимное ПО для собеседований не должно требовать доступа к терминалу
4. Тактика давления: Срочность установки перед собеседованием - это манипулятивная тактика
5. Ограниченная доступность платформ: Утверждение, что ПО работает только на определенных платформах

Как защитить себя

Следуйте этим рекомендациям для безопасности:

1. Исследуйте компанию: Проверяйте компанию и рекрутера через официальные каналы
2. Используйте известные платформы: Придерживайтесь широко признанных инструментов видеоконференций
3. Никогда не запускайте скрипты: Легитимное ПО не требует выполнения скриптов в терминале
4. Доверяйте интуиции: Если что-то кажется странным в процессе собеседования, вероятно, так оно и есть
5. Сообщайте об инцидентах: Сообщайте о подозрительных вакансиях на платформе, где вы их нашли

Что делать, если вы пострадали

Если вы уже взаимодействовали с таким вредоносным ПО:

СЖЕЧЬ ВСЁ ОГНЁМ!

1. Немедленно отключитесь от интернета
2. Загрузите компьютер в безопасном режиме
3. Запустите полное сканирование системы надежным антивирусным ПО
4. Следите за подозрительной активностью в ваших аккаунтах
5. Сообщите об инциденте:
   1. В местное подразделение по борьбе с киберпреступностью
   2. На платформу, где вы нашли вакансию
   3. В реальную компанию, которую имитировали (если применимо)

Будьте бдительны

Лучшая защита от таких мошенничеств - осведомленность и бдительность. Помните:

• Ни одна легитимная компания не проводит найм через WhatsApp или Telegram
• Легитимные компании не требуют специального ПО для собеседований
• Будьте крайне осторожны с любым ПО, требующим доступа к терминалу
• В случае сомнений запросите телефонный звонок или используйте популярную платформу
• Поддерживайте операционную систему и ПО безопасности в актуальном состоянии
• Делитесь этой информацией с другими соискателями, чтобы помочь защитить их

Контролируйте свою сетевую активность

Для дополнительной защиты вашей системы рекомендуется использовать программное обеспечение для брандмауэра, которое контролирует, какие программы могут подключаться к интернету. Вот несколько примеров:

• Для macOS:
  • Бесплатное: LuLu
  • Платное: Little Snitch
• Для Windows:
  • Бесплатное: GlassWire
  • Платное: ZoneAlarm

Использование таких инструментов поможет вам контролировать сетевую активность и защитить вашу систему от несанкционированных подключений.

Помните: Никакая возможность трудоустройства не стоит компрометации безопасности вашей системы. Если процесс собеседования кажется необычно сложным или требует установки подозрительного ПО, лучше отказаться, чем рисковать цифровой безопасностью.