Lazarus grupa su severnokorejski hakeri koji sada šalju neželjena i lažni kripto poslovi usmjereni na Appleov macOS operativni sistem. Hakerska grupa je postavila malver koji sprovodi napad.
Ovu najnoviju varijantu kampanje ispituje kompanija za sajber sigurnost SentinelOne.
Kompanija za sajber sigurnost je otkrila da je hakerska grupa koristila lažne dokumente za reklamiranje pozicija za platformu za razmjenu kriptovaluta Crypto.com sa sjedištem u Singapuru i u skladu s tim provodi hakove.
Najnovija varijanta hakerske kampanje nazvana je “Operacija In(ter)ception”. Navodno, phishing kampanja daleko cilja samo na Mac korisnike.
Utvrđeno je da je zlonamjerni softver koji se koristi za hakove identičan onima koji se koriste u lažnim Coinbase oglasima za posao.
Prošlog mjeseca, istraživači su primijetili i otkrili da je Lazarus koristio lažna Coinbase nova radna mjesta kako bi prevario samo korisnike macOS-a da preuzmu zlonamjerni softver.
Kako je grupa izvela hakove na platformi Crypto.com
Ovo se smatra orkestriranim hakom. Ovi hakeri su zakamuflirali zlonamjerni softver kao oglase za posao sa popularnih kripto berzi.
Ovo se provodi korištenjem dobro dizajniranih i legitimnih PDF dokumenata koji prikazuju slobodna radna mjesta za različite pozicije, kao što je Art Director-Concept Art (NFT) u Singapuru.
Prema izvještaju SentinelOne-a, ovaj novi mamac za kripto posao uključivao je ciljanje drugih žrtava tako što ih je Lazarus kontaktirao putem LinkedIn poruka.
Navodeći dodatne detalje u vezi sa hakerskom kampanjom, SentinelOne je naveo,
Iako u ovoj fazi nije jasno kako se zlonamjerni softver distribuira, raniji izvještaji sugerirali su da akteri prijetnji privlače žrtve putem ciljanih poruka na LinkedInu.
Ova dva lažna oglasa za posao su samo najnoviji u nizu napada koji su nazvani Operacija In(ter)ception, a koji su zauzvrat dio šire kampanje koja potpada pod širu hakersku operaciju pod nazivom Operation Dream Job.
Srodno čitanje: STEPN se udružio s Blokom davanja kako bi omogućio kripto donacije za neprofitne organizacije
Manje jasnoće o tome kako se zlonamjerni softver distribuira
Sigurnosna kompanija koja se bavi ovim pitanjem napomenula je da još uvijek nije jasno kako se zlonamjerni softver širi.
Uzimajući u obzir tehničke detalje, SentinelOne je rekao da je dropper prve faze Mach-O binarni, što je isto kao i šablonski binarni fajl koji je korišten u Coinbase varijanti.
Prva faza se sastoji od kreiranja nove fascikle u biblioteci korisnika koja ispušta agenta za postojanost.
Primarna svrha druge faze je da izdvoji i izvrši binarnu verziju treće faze, koja djeluje kao downloader sa C2 servera.
U savetu je pisalo,
Akteri prijetnji nisu uložili nikakav napor da šifriraju ili prikriju bilo koju od binarnih datoteka, što možda ukazuje na kratkoročne kampanje i/ili mali strah od otkrivanja od strane njihovih meta.
SentinelOne je također spomenuo da se čini da Operacija In(ter)ception također proširuje mete s korisnika platformi za razmjenu kriptovaluta na njihove zaposlenike, jer izgleda kao „što bi mogao biti kombinovani napor da se sprovede i špijunaža i krađa kriptovaluta“.
Izvor: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/