Групата Лазарус се севернокорејски хакери кои сега испраќаат несакани и лажни крипто работни места насочени кон macOS оперативниот систем на Apple. Хакерската група распореди малициозен софтвер кој го спроведува нападот.
Оваа најнова варијанта на кампањата е под лупа на компанијата за сајбер безбедност SentinelOne.
Компанијата за сајбер безбедност откри дека хакерската група користела документи за мамка за рекламирање позиции за платформата за размена на криптовалути со седиште во Сингапур наречена Crypto.com и соодветно ги спроведува хакерите.
Најновата варијанта на хакерската кампања е наречена „Операција во (тер)цепција“. Наводно, кампањата за фишинг ги таргетира само корисниците на Mac.
Утврдено е дека малициозниот софтвер што се користи за хакирањето е идентичен со оние што се користат во лажните огласи за работа во Coinbase.
Минатиот месец, истражувачите забележаа и открија дека Лазар користел лажни работни места во Coinbase за да ги измами само корисниците на macOS да преземаат малициозен софтвер.
Како групата спроведе хакирање на платформата Crypto.com
Се смета дека ова е оркестриран хак. Овие хакери го камуфлираа малициозниот софтвер како огласи за работа од популарните крипто централи.
Ова се спроведува со користење на добро дизајнирани и легитимни PDF документи кои прикажуваат огласи за различни позиции, како што е Art Director-Concept Art (NFT) во Сингапур.
Според извештајот од SentinelOne, оваа нова мамка за крипто-работа вклучува таргетирање на други жртви преку контактирање со нив преку пораките на LinkedIn од Лазарус.
Обезбедувајќи дополнителни детали во врска со хакерската кампања, SentinelOne изјави,
Иако во оваа фаза не е јасно како се дистрибуира малициозниот софтвер, претходните извештаи сугерираа дека актерите на закани привлекуваат жртви преку насочени пораки на LinkedIn.
Овие два лажни огласи за вработување се само најновите во мноштвото напади кои се наречени Operation In(ter)ception, а кои пак се дел од пошироката кампања која спаѓа во пошироката хакерска операција наречена Operation Dream Job.
Поврзано читање: STEPN соработува со блокот за давање за да овозможи крипто донации за непрофитни организации
Помалку јасност за тоа како се дистрибуира малициозниот софтвер
Безбедносната компанија која го истражува ова спомена дека сè уште не е јасно како се циркулира малициозниот софтвер.
Со оглед на техничките карактеристики, SentinelOne рече дека капачот на првата фаза е бинарен Mach-O, што е исто како бинарен шаблон што се користел во варијантата Coinbase.
Првата фаза се состои од создавање на нова папка во библиотеката на корисникот што испушта агент за упорност.
Примарната цел на втората фаза е да се извлече и да се изврши бинарната трета фаза, која делува како преземач од серверот C2.
Советодавното гласило,
Актерите за закана не направија никаков напор да шифрираат или поматат некој од бинарните датотеки, што веројатно укажува на краткорочни кампањи и/или мал страв од откривање од нивните цели.
SentinelOne, исто така, спомена дека Operation In(ter)ception, исто така, се чини дека ги проширува целите од корисниците на платформите за размена на крипто на нивните вработени, бидејќи изгледа како „што може да биде комбиниран напор да се спроведе и шпионажа и кражба на криптовалути“.
Извор: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/