- Grupul Lazarus sunt hackeri nord-coreeni
- Hackerii trimit acum joburi cripto nesolicitate și false
- Cea mai recentă variantă a campaniei este analizată de către SentinelOne
Grupul Lazarus este un grup de hackeri nord-coreeni care trimit în prezent joburi false criptografice către sistemul de operare macOS al Apple, fără a le cere. Malware-ul folosit de grupul de hackeri este cel care lansează atacul.
Firma de securitate cibernetică SentinelOne analizează această variantă cea mai recentă a campaniei.
Firma de securitate cibernetică a stabilit că grupul de hackeri a făcut publicitate pozițiilor pentru platforma de schimb de criptomonede Crypto.com cu sediul în Singapore, folosind documente captivante și efectuează atacurile în consecință.
Cum a efectuat grupul hack-urile?
Operațiunea In(ter)ception este numele dat celei mai recente variante a campaniei de hacking. Potrivit rapoartelor, campania de phishing vizează în primul rând utilizatorii Mac.
S-a descoperit că malware-ul folosit în hack-uri este același cu malware-ul folosit în postări false de locuri de muncă pe Coinbase.
S-a sugerat că acesta a fost un hack planificat. Programele malware au fost deghizate de acești hackeri ca postări de locuri de muncă de la bursele populare de criptomonede.
Acest lucru se realizează cu documente PDF bine concepute și cu aspect legitim, care promovează locuri de muncă pentru posturi din Singapore, cum ar fi Art Director-Concept Art (NFT). Raportul SentinelOne spune că Lazarus a folosit mesageria LinkedIn pentru a contacta alte victime, ca parte a acestei noi atracții de muncă cripto.
CITEȘTE ȘI: Mai mult de 3000 de transferuri BTC au fost în centrul atenției
Dropperul din prima etapă este un binar Mach-O – SentinelOne
Aceste două anunțuri false de angajare sunt doar cele mai recente dintr-un șir de atacuri care au fost numite Operațiunea In(ter)ception și sunt, la rândul lor, o parte a unei campanii mai ample care face parte din operațiunea de hacking mai mare cunoscută sub numele de Operațiunea Dream Job. . Ambele campanii fac parte din operațiunea mai mare.
Compania de securitate care se ocupă de acest lucru a spus că modul în care malware-ul circulă este încă un mister. SentinelOne a declarat că dropperul din prima etapă este un binar Mach-O, care este același cu șablonul binar utilizat în varianta Coinbase, ținând cont de specificul.
Primul pas implică introducerea unui agent de persistență într-un folder nou-nouț din biblioteca utilizatorului.
Extragerea și execuția binarului din a treia etapă, care servește ca un descărcator de pe serverul C2, este funcția principală a celei de-a doua etape.
Sursa: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/