Fałszywa oferta pracy w IT kończy się kradzieżą danych. Irańscy hakerzy atakują nową metodą
Szukasz nowej pracy w branży technologicznej lub zbrojeniowej? Uważaj, bo zamiast zaproszenia na rozmowę kwalifikacyjną możesz pobrać zaawansowane oprogramowanie szpiegowskie.
Irańska grupa hakerska Screening Serpens opanowała do perfekcji sztukę socjotechniki, podszywając się pod rekruterów. Ich najnowsza metoda ataku potrafi ominąć zabezpieczenia Windowsa, zanim system w ogóle zorientuje się, że został zainfekowany.
Konflikty zbrojne na Bliskim Wschodzie mają swoje bezpośrednie przełożenie na cyberprzestrzeń. Działająca od kilku lat irańska grupa hakerska Screening Serpens (znana również jako „Iranian Dream Job”) zintensyfikowała w tym roku swoje ataki na podmioty w USA, Izraelu i Europie Zachodniej. Analitycy cyberbezpieczeństwa zidentyfikowali właśnie ich najnowszy, wysoce skuteczny wektor ataku, który uderza w najsłabsze ogniwo każdej firmy – pracowników szukających lepszych zarobków.
Precyzyjny atak zamiast masowego spamu
Grupa Screening Serpens nie strzela na oślep. Zamiast wysyłać tysiące maili z tanim spamem, cyberprzestępcy biorą na celownik konkretnych specjalistów IT, inżynierów oprogramowania oraz ekspertów z sektora obronnego, lotniczego i telekomunikacyjnego.
Atak jest szyty na miarę. Hakerzy preparują wiarygodne i wysoce spersonalizowane oferty pracy, podszywając się pod znane platformy rekrutacyjne i duże korporacje. Gdy ofiara połknie haczyk i zgodzi się na próbny „test techniczny”, otrzymuje plik w formacie ZIP. Jego rozpakowanie i uruchomienie nie otwiera jednak środowiska testowego, lecz wpuszcza do systemu złośliwy kod szpiegujący (korzystający z rodzin złośliwego oprogramowania MiniUpdate oraz MiniJunk V2).
Hakerzy szybsi niż system. Jak działa omijanie zabezpieczeń?
To, co czyni ten atak wyjątkowo niebezpiecznym, to zastosowanie techniki znanej jako AppDomainManager hijacking. Hakerzy nie próbują siłować się z włączonym antywirusem czy systemami monitorującymi sieć korporacyjną. Zamiast tego przejmują kontrolę nad procesem uruchamiania całkowicie legalnych aplikacji napisanych w środowisku .NET.
Złośliwy kod aktywuje się ułamki sekund wcześniej, jeszcze zanim ruszą systemowe zabezpieczenia i telemetria Windowsa. To sprawia, że atak jest praktycznie niewidoczny dla standardowych skanerów. Po udanej infekcji przestępcy zapewniają sobie stały dostęp do komputera, instalując się w Harmonogramie Zadań i ukrywając swoje procesy pod niewinnie brzmiącymi nazwami, takimi jak „WindowsSecurityUpdate”.
Socjotechnika to dziś największe zagrożenie
Choć irańska kampania skupiała się ostatnio głównie na zagranicznych korporacjach, sam mechanizm oszustwa stanowi ogromne wyzwanie również dla polskich firm. Z raportu CERT Polska za 2025 rok wynika jasno: ataki oparte na phishingu i socjotechnice zdominowały rodzimy krajobraz bezpieczeństwa, odpowiadając za ponad 97 proc. wszystkich zarejestrowanych incydentów.
Wykorzystywanie legalnych narzędzi systemowych do przemycania wirusów (metoda Living-off-the-Land) to obecnie największy koszmar działów bezpieczeństwa IT. Ten przypadek dobitnie udowadnia, że w procesach rekrutacyjnych należy zachować najwyższą ostrożność. Nawet najdroższe oprogramowanie antywirusowe nie pomoże, jeśli inżynier zostanie sprytnie zmanipulowany wizją awansu i sam wpuści szpiegów do firmowej sieci.
Hakerzy kradną dane w 72 minuty. Sztuczna inteligencja brutalnie weryfikuje firmowe zabezpieczenia
