финанси

Потребители на MacOS, насочени към хакерите на Lazarus

09/29/2022
Новини за Bitcoin Ethereum

  • Групата Lazarus са севернокорейски хакери
  • Сега хакерите изпращат непоискани и фалшиви крипто работни места
  • Последният вариант на кампанията се разглежда внимателно от SentinelOne

Lazarus Group е група от севернокорейски хакери, които в момента изпращат фалшиви крипто задачи до операционната система macOS на Apple, без да ги искат. Зловреден софтуер, използван от хакерската група, е това, което стартира атаката.

Фирмата за киберсигурност SentinelOne разглежда този най-нов вариант на кампанията.

Фирмата за киберсигурност е установила, че хакерската група е рекламирала позиции за базираната в Сингапур платформа за обмен на криптовалута Crypto.com, използвайки документи за примамка, и съответно извършва атаките.

Изображение

Как групата извърши хакове?

Operation In(ter)ception е името, дадено на най-новия вариант на хакерската кампания. Според докладите фишинг кампанията е насочена предимно към потребителите на Mac.

Беше открито, че злонамереният софтуер, използван при хаковете, е същият като този, използван във фалшиви обяви за работа в Coinbase.

Предполага се, че това е планиран хак. Зловреден софтуер е бил маскиран от тези хакери като обяви за работа от популярни борси за криптовалута.

Това се прави с добре проектирани и легитимно изглеждащи PDF документи, които рекламират свободни позиции за базирани в Сингапур позиции като Art Director-Concept Art (NFT). В доклада на SentinelOne се казва, че Lazarus е използвал съобщения в LinkedIn, за да се свърже с други жертви като част от тази нова примамка за крипто работа.

ПРОЧЕТЕТЕ СЪЩО: Повече от 3000 BTC трансфера привлякоха светлината на прожекторите

Първият капкомер е двоичен Mach-O – SentinelOne 

Тези две фалшиви обяви за работа са само най-новите в поредица от атаки, които бяха наречени Operation In(ter)ception и на свой ред са част от по-голяма кампания, която е част от по-голямата хакерска операция, известна като Operation Dream Job . И двете кампании са част от по-голямата операция.

Компанията за сигурност, която проучва това, каза, че начинът, по който се разпространява зловреден софтуер, все още е загадка. SentinelOne заяви, че капкомерът на първия етап е Mach-O двоичен файл, който е същият като двоичния шаблон, използван във варианта на Coinbase, като се вземат предвид спецификите.

Първата стъпка включва пускане на агент за постоянство в чисто нова папка в библиотеката на потребителя.

Извличането и изпълнението на двоичния файл от третия етап, който служи като програма за изтегляне от сървъра C2, е основната функция на втория етап.

Източник: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/