financier

Les utilisateurs de MacOS ciblés par les hackers Lazarus

09/29/2022
Nouvelles Bitcoin Ethereum

  • Le groupe Lazarus sont des hackers nord-coréens
  • Les pirates envoient maintenant des emplois cryptographiques non sollicités et faux
  • La dernière variante de la campagne est examinée par SentinelOne

Le groupe Lazarus est un groupe de pirates nord-coréens qui envoient actuellement de faux travaux de cryptographie au système d'exploitation macOS d'Apple sans les demander. Le logiciel malveillant utilisé par le groupe de pirates informatiques est ce qui lance l'attaque.

La société de cybersécurité SentinelOne se penche sur cette variante la plus récente de la campagne.

La société de cybersécurité a déterminé que le groupe de pirates avait annoncé des positions pour la plate-forme d'échange de crypto-monnaie basée à Singapour Crypto.com à l'aide de documents leurres, et elle mène les attaques en conséquence.

Image(s)

Comment le groupe a-t-il mené des hacks ?

L'opération In(ter)ception est le nom donné à la variante la plus récente de la campagne de piratage. Selon les rapports, la campagne de phishing cible principalement les utilisateurs de Mac.

Il a été découvert que le malware utilisé dans les hacks est le même que le malware utilisé dans les fausses offres d'emploi sur Coinbase.

Il a été suggéré qu'il s'agissait d'un piratage planifié. Les logiciels malveillants ont été déguisés par ces pirates en offres d'emploi provenant d'échanges de crypto-monnaie populaires.

Cela se fait avec des documents PDF bien conçus et d'apparence légitime qui annoncent des ouvertures pour des postes basés à Singapour comme Art Director-Concept Art (NFT). Le rapport de SentinelOne indique que Lazarus a utilisé la messagerie LinkedIn pour contacter d'autres victimes dans le cadre de ce nouveau leurre d'emploi crypto.

A LIRE AUSSI: Plus de 3000 transferts BTC ont pris le devant de la scène

Le compte-gouttes du premier étage est un binaire Mach-O - SentinelOne 

Ces deux fausses offres d'emploi ne sont que les plus récentes d'une série d'attaques qui ont été surnommées Operation In(ter)ception et font, à leur tour, partie d'une campagne plus vaste qui fait partie de l'opération de piratage plus vaste connue sous le nom d'Operation Dream Job. . Ces deux campagnes font partie d'une opération plus large.

La société de sécurité qui s'est penchée sur cette question a déclaré que la façon dont le logiciel malveillant se déplace est toujours un mystère. SentinelOne a déclaré que le compte-gouttes de la première étape est un binaire Mach-O, qui est le même que le binaire modèle utilisé dans la variante Coinbase, en tenant compte des spécificités.

La première étape consiste à déposer un agent de persistance dans un tout nouveau dossier de la bibliothèque de l'utilisateur.

L'extraction et l'exécution du binaire de la troisième étape, qui sert de téléchargeur à partir du serveur C2, est la fonction principale de la deuxième étape.

Source : https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/