Lazarus Group är nordkoreanska hackare som nu skickar oönskad och falska kryptojobb riktade mot Apples macOS-operativsystem. Hackergruppen har distribuerat skadlig programvara som utför attacken.
Den senaste varianten av kampanjen granskas av cybersäkerhetsföretaget SentinelOne.
Cybersäkerhetsföretaget fick reda på att hackergruppen använde lockbetedokument för att annonsera positioner för den Singapore-baserade kryptovalutaväxlingsplattformen Crypto.com och utför hackningarna därefter.
Den senaste varianten av hackningskampanjen har kallats "Operation In(ter)ception". Enligt uppgift riktar sig nätfiskekampanjen bara till Mac-användare.
Skadlig programvara som används för hacken har visat sig vara identisk med de som används i falska Coinbase-jobbannonser.
Förra månaden observerade forskare och fick reda på att Lazarus använde falska Coinbase-jobböppningar för att bara lura macOS-användare att ladda ner skadlig programvara.
Hur genomförde gruppen hack på Crypto.com-plattformen
Detta har ansetts vara ett orkestrerat hack. Dessa hackare har kamouflerat skadlig programvara som jobbannonser från populära kryptobörser.
Detta görs genom att använda väldesignade och legitima PDF-dokument som visar lediga annonser för olika positioner, såsom Art Director-Concept Art (NFT) i Singapore.
Enligt en rapport från SentinelOne inkluderade detta nya kryptojobbdrag att rikta in sig på andra offer genom att kontakta dem på LinkedIn-meddelanden från Lazarus.
SentinelOne gav ytterligare information om hackerkampanjen,
Även om det i detta skede inte är klart hur skadlig programvara distribueras, tydde tidigare rapporter på att hotaktörer lockade offer via riktade meddelanden på LinkedIn.
Dessa två falska jobbannonser är bara de senaste i en mängd attacker som har kallats Operation In(ter)ception, och som i sin tur är en del av en bredare kampanj som faller under den bredare hackningsoperationen som kallas Operation Dream Job.
Relaterad läsning: STEPN samarbetar med Giving Block för att möjliggöra kryptodonationer för ideella organisationer
Mindre klarhet i hur skadlig programvara distribueras
Säkerhetsföretaget som undersöker detta nämnde att det fortfarande är oklart hur skadlig programvara cirkuleras.
Med tanke på de tekniska detaljerna sa SentinelOne att den första steget dropper är en Mach-O binär, vilket är samma som en mall binär som har använts i Coinbase-varianten.
Det första steget består av att skapa en ny mapp i användarens bibliotek som släpper en persistensagent.
Det primära syftet med det andra steget är att extrahera och exekvera binären i tredje steget, som fungerar som en nedladdare från C2-servern.
Rådgivningen läser,
Hotaktörerna har inte ansträngt sig för att kryptera eller fördunkla någon av binärfilerna, vilket möjligen tyder på kortsiktiga kampanjer och/eller liten rädsla för att deras mål upptäcks.
SentinelOne nämnde också att Operation In(ter)ception också verkar utvidga målen från användare av kryptoväxlingsplattformar till sina anställda, eftersom det ser ut som "vad som kan vara en kombinerad ansträngning för att bedriva både spionage och stöld av kryptovaluta."
Källa: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/