Групата Lazarus са севернокорейски хакери, които сега изпращат Непоискан и фалшиви крипто работни места, насочени към операционната система MacOS на Apple. Хакерската група е разположила зловреден софтуер, който извършва атаката.
Този последен вариант на кампанията се проучва внимателно от компанията за киберсигурност SentinelOne.
Компанията за киберсигурност установи, че хакерската група е използвала документи-примамки за рекламни позиции за базираната в Сингапур платформа за обмен на криптовалута, наречена Crypto.com, и съответно извършва хаковете.
Последният вариант на хакерската кампания е наречен „Operation In(ter)ception“. Съобщава се, че фишинг кампанията е насочена само към потребителите на Mac.
Установено е, че зловредният софтуер, използван за хаковете, е идентичен с този, използван във фалшиви обяви за работа в Coinbase.
Миналия месец изследователи наблюдаваха и откриха, че Lazarus използва фалшиви обяви за работа в Coinbase, за да подмами само потребителите на macOS да изтеглят зловреден софтуер.
Как групата извърши хакове на платформата Crypto.com
Това се смята за оркестриран хак. Тези хакери са замаскирали зловреден софтуер като обяви за работа от популярни крипто борси.
Това се извършва чрез използване на добре проектирани и изглеждащи легитимни PDF документи, показващи рекламни свободни работни места за различни позиции, като Art Director-Concept Art (NFT) в Сингапур.
Според доклад от SentinelOne, тази нова примамка за крипто работа включва насочване към други жертви чрез свързване с тях чрез съобщения в LinkedIn от Lazarus.
Предоставяйки допълнителни подробности относно хакерската кампания, SentinelOne заяви,
Въпреки че на този етап не е ясно как се разпространява зловреден софтуер, по-ранни доклади предполагат, че заплахите са привличали жертви чрез целеви съобщения в LinkedIn.
Тези две фалшиви обяви за работа са само най-новите от множество атаки, наречени Operation In(ter)ception, и които от своя страна са част от по-широка кампания, която попада в рамките на по-широката хакерска операция, наречена Operation Dream Job.
Свързано четене: STEPN си партнира с Giving Block, за да активира крипто дарения за нестопански организации
По-малко яснота за това как се разпространява зловреден софтуер
Компанията за сигурност, която проучва това, спомена, че все още не е ясно как злонамереният софтуер се разпространява.
Като се имат предвид техническите подробности, SentinelOne каза, че капкомерът на първия етап е Mach-O двоичен файл, който е същият като шаблонен двоичен файл, който е бил използван във варианта на Coinbase.
Първият етап се състои от създаване на нова папка в библиотеката на потребителя, която премахва агент за постоянство.
Основната цел на втория етап е да извлече и изпълни двоичния файл от третия етап, който действа като програма за изтегляне от сървъра C2.
Съветът гласи,
Актьорите на заплахите не са положили никакви усилия да шифроват или замъглят някой от двоичните файлове, което вероятно показва краткосрочни кампании и/или малък страх от откриване от техните цели.
SentinelOne също така спомена, че Operation In(ter)ception също изглежда разширява целите от потребителите на платформи за крипто обмен към техните служители, тъй като изглежда като „какво може да е комбинирано усилие за извършване както на шпионаж, така и на кражба на криптовалута“.
Източник: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/