Киберразведка обнаружила фиктивную платформу трудоустройства для таргетирования специалистов в области ИИ

Новая кампания отличается повышенной технической проработанностью и реалистичностью, что значительно увеличивает риски для соискателей. В отличие от ранее документированных схем, где злоумышленники выдавали себя за сотрудников компаний, данная операция нацелена непосредственно на реальных специалистов, находящихся в активном поиске работы. Эксперты отмечают, что уровень исполнения мошеннического портала позволяет эффективно обманывать даже технически подкованных пользователей.

Обнаружение произошло благодаря системе мониторинга на основе правил YARA, которая ранее уже выявляла аналогичные ресурсы. Первоначально сайт lenvny[.]com выглядел как обычная фишинговая страница, но при детальном изучении оказался полнофункциональной платформой для трудоустройства, созданной на фреймворке React Next.js. Платформа содержит десятки разделов, динамически генерируемые вакансии и полностью воспроизводит пользовательский опыт современных систем подбора персонала.

Операция Contagious Interview представляет собой долгосрочную кампанию социальной инженерии и доставки вредоносного программного обеспечения, преимущественно нацеленную на разработчиков программного обеспечения, специалистов по криптовалютам и технических специалистов. Уникальность подхода заключается в оружизации самого процесса трудоустройства через имитацию recruitment-процессов, злонамеренные тестовые задания и поддельные платформы найма.

Типичный сценарий атаки включает несколько этапов: сообщение в LinkedIn, процесс собеседования, запись видеоответа, "исправление" веб-камеры с помощью инструмента ClickFix и последующую установку вредоносного программного обеспечения. Именно на этапе "исправления" камеры происходит доставка зловреда на систему жертвы.

Дизайн новой платформы демонстрирует значительный прогресс в методах работы злоумышленников. Вместо минималистичных страниц-заготовок злоумышленники создали полноценный публичный ресурс, имитирующий профессиональный SaaS-продукт. Lenvny позиционируется как "интегрированный инструмент для проведения собеседований с искусственным интеллектом", что соответствует современным трендам рекрутинговой индустрии.

Визуальное оформление платформы включает современные элементы дизайна: градиенты, синтетический брендинг и нарратив, сфокусированный на повышении эффективности найма. Особое внимание уделено социальному доказательству: на сайте размещены профессиональные бейджи "Лидер в области инструментов ИИ", фальшивые отзывы и логотипы известных технологических компаний. Дополнительную убедительность придает таблица сравнения функций, где фиктивная платформа представлена рядом с реальными продуктами.

Одной из наиболее проработанных характеристик платформы является симуляция полноценной экосистемы трудоустройства. Вместо единой формы заявки злоумышленники создали многокомпанейский "карьерный портал" с вакансиями известных организаций в секторах ИИ, криптовалют и Web3. На главной странице размещены призывы к действию, направляющие посетителей к спискам вакансий.

Платформа рекламирует партнерства с компаниями Anthropic, Yuga Labs, Anchorage Digital и другими известными брендами, каждый из которых представлен с реальной символикой, краткими описаниями и ссылками на открытые позиции. Детализация вакансий включает десятки сфабрикованных предложений работы, охватывающих бизнес-развитие, управление продуктом, исследования и финансы. Форматирование должностей, описаний и типов занятости соответствует стандартам американского рынка труда.

Процесс подачи заявки начинается со стандартизированной формы, дублируемой для всех позиций. Каждая вакансия требует одинакового набора данных: полное имя, электронная почта, номер телефона, текущий работодатель, местоположение и URL-адрес LinkedIn. Эти сведения соответствуют целям профилирования личности, характерным для операций Contagious Interview.

Особого внимания заслуживает механизм загрузки резюме. Страница рекламирует функцию "автозаполнения на основе ИИ", которая якобы анализирует файлы PDF или DOCX для извлечения структурированных данных. Хотя сам анализатор не функционирует, этот элемент побуждает жертв загружать реальные резюме, позволяя злоумышленникам собирать точные досье на цели даже при неудачной доставке вредоносного программного обеспечения.

Дополнительно страница запрашивает ссылки на социальные сети и разработческие профили, включая GitHub, LinkedIn и портфолио. Это соответствует целевой аудитории инженеров, исследователей ИИ и крипторазработчиков - групп с активными онлайн-профилями. Финальным этапом процесса является требование "видеопрезентации", где кандидатов просят записать одноминутное видео о их интересе к должности. Именно этот этап служит точкой внедрения классической техники ClickFix.

Механизм доставки вредоносного программного обеспечения демонстрирует высокий уровень технической изощренности. При копировании любых инструкций со страницы специальный скрипт подменяет содержимое буфера обмена на многоэтапную вредоносную команду. При вставке в терминал команда инициирует последовательность заражения, маскирующуюся под легитимный процесс обновления программного обеспечения.

Полезная нагрузка включает несколько стадий: загрузку фейкового "обновления драйверов Microsoft", извлечение дополнительного архива с инфраструктуры злоумышленников, распаковку встроенных скриптов и выполнение VBS-загрузчика. Использование нативных утилит Windows повышает скрытность атаки и усложняет обнаружение.

Выбор имитации работодателей в области ИИ и криптовалют не случаен - он отражает документально подтвержденные приоритеты сбора информации северокорейскими операторами. Искусственный интеллект представляет интерес для военных приложений и экономических целей, включая обход санкций через мошенничество с ИИ, манипуляции с криптовалютами и генерацию синтетических идентичностей. Криптографические специалисты часто работают в средах, управляющих высокоценными активами, что делает их устройства и учетные данные приоритетными целями для финансово мотивированных операций.

Специалистам, находящимся в поиске работы, рекомендуется проявлять повышенную осторожность при взаимодействии с незнакомыми рекрутинговыми платформами. Необходимо всегда проверять, что карьерные страницы и процедуры подачи заявок исходят из стандартов доменов первого уровня. Следует избегать загрузки резюме, портфолио или личных документов на платформы, которые невозможно полностью верифицировать. Легитимные компании редко размещают порталы для собеседований или кодинг-тестов на сторонних доменах.

При выполнении технических заданий, связанных с клонированием репозиториев или запуском кода, необходимо тщательно анализировать содержимое и всегда выполнять неизвестные скрипты в виртуальных машинах или изолированных средах. Несколько минут дополнительной проверки могут предотвратить компрометацию рабочей станции и сохранить конфиденциальность персональных данных. Растущая сложность социальной инженерии требует от специалистов постоянной бдительности и проверки легитимности всех этапов процесса трудоустройства.

IPv4

• 69.62.86.78
• 72.61.9.45

Domains

• advisorflux.com
• assureeval.com
• carrerlilla.com
• lenvny.com