Le groupe Lazarus sont des hackers nord-coréens qui envoient maintenant Non sollicité et de faux travaux de cryptographie ciblés sur le système d'exploitation macOS d'Apple. Le groupe de pirates a déployé un logiciel malveillant qui mène l'attaque.
Cette dernière variante de la campagne est scrutée par la société de cybersécurité SentinelOne.
La société de cybersécurité a découvert que le groupe de pirates utilisait des documents leurres pour annoncer des positions pour la plate-forme d'échange de crypto-monnaie basée à Singapour appelée Crypto.com et effectuait les piratages en conséquence.
La dernière variante de la campagne de piratage a été baptisée « Opération In(ter)ception ». Apparemment, la campagne de phishing ne cible de loin que les utilisateurs de Mac.
Le malware utilisé pour les hacks s'est avéré être identique à ceux utilisés dans les fausses offres d'emploi de Coinbase.
Le mois dernier, des chercheurs ont observé et découvert que Lazarus utilisait de fausses offres d'emploi Coinbase pour inciter uniquement les utilisateurs de macOS à télécharger des logiciels malveillants.
Comment le groupe a-t-il mené des piratages sur la plate-forme Crypto.com
Cela a été considéré comme un piratage orchestré. Ces pirates ont camouflé des logiciels malveillants sous forme d'offres d'emploi provenant d'échanges cryptographiques populaires.
Ceci est réalisé en utilisant des documents PDF bien conçus et d'apparence légitime affichant des offres d'emploi pour divers postes, tels que Art Director-Concept Art (NFT) à Singapour.
Selon un rapport de SentinelOne, ce nouveau leurre de travail crypto comprenait le ciblage d'autres victimes en les contactant sur la messagerie LinkedIn de Lazarus.
Fournissant des détails supplémentaires concernant la campagne de piratage, SentinelOne a déclaré :
Bien qu'il ne soit pas clair à ce stade comment le logiciel malveillant est distribué, des rapports antérieurs suggéraient que les acteurs de la menace attiraient des victimes via des messages ciblés sur LinkedIn.
Ces deux fausses offres d'emploi ne sont que les dernières d'une série d'attaques qui ont été appelées Operation In(ter)ception, et qui à leur tour font partie d'une campagne plus large qui relève de l'opération de piratage plus large appelée Operation Dream Job.
Lecture connexe: STEPN s'associe à The Giving Block pour activer les dons cryptographiques pour les organisations à but non lucratif
Moins de clarté sur la façon dont le logiciel malveillant est distribué
La société de sécurité qui s'est penchée sur cette question a mentionné qu'il n'est toujours pas clair quant à la manière dont le logiciel malveillant est diffusé.
Compte tenu des détails techniques, SentinelOne a déclaré que le compte-gouttes de la première étape est un binaire Mach-O, qui est le même qu'un binaire modèle qui a été utilisé dans la variante Coinbase.
La première étape consiste à créer un nouveau dossier dans la bibliothèque de l'utilisateur qui dépose un agent de persistance.
L'objectif principal de la deuxième étape est d'extraire et d'exécuter le binaire de la troisième étape, qui agit comme un téléchargeur à partir du serveur C2.
L'avis lu,
Les acteurs de la menace n'ont fait aucun effort pour chiffrer ou obscurcir l'un des binaires, indiquant peut-être des campagnes à court terme et/ou peu de crainte d'être détectés par leurs cibles.
SentinelOne a également mentionné que l'opération In(ter)ception semble également étendre les cibles des utilisateurs de plates-formes d'échange de crypto à leurs employés, car cela ressemble à "ce qui pourrait être un effort combiné pour mener à la fois l'espionnage et le vol de crypto-monnaie".
Source : https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/