Хакеры Lazarus используют блокчейн для найма пользователей macOS

Lazarus Lazarus Group SentinelOne Crypto.com криптовалюта Mach-O macOS дроппер LinkedIn Coinbase C&C-сервер
Киберпреступники продолжают заражать устройства с помощью поддельных вакансий.

Исследователи из ИБ-компании SentinelOne
обнаружили новую кампанию
северокорейской группировки Lazarus, направленной на пользователей macOS. Для проведения атак используются документы-приманки, рекламирующие вакансии компании по обмену криптовалюты Crypto.com.
Серия атак является частью кампании
Operation In(ter)ception
с фейковыми вакансиями Coinbase, которая, в свою очередь, является частью более широкой кампании под названием
Operation Dream Job .
Точный вектор распространения вредоносного ПО остается неизвестным, но эксперты предполагают, что хакеры заманивают жертв посредством прямых сообщений в LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных."
data-html="true" data-original-title="LinkedIn"
>LinkedIn.

Цепочка атак начинается с развертывания двоичного файла
Mach-O , дроппера, который запускает поддельный PDF-документ, содержащий списки вакансий на Crypto.com. В фоновом режиме он удаляет сохранение сеанса терминала («com.apple.Terminal.savedState»).
Загрузчик, похожий на библиотеку «safarifontagent», используемую в кампании с Coinbase — это безопасная онлайн-платформа для покупки, продажи, перевода и хранения цифровой валюты."
data-html="true" data-original-title="Coinbase"
>Coinbase, работает как полезная нагрузка второго этапа под названием «WifiAnalyticsServ.app». Этот файл является копией версии «FinderFontsUpdater.app».
Основная цель второго этапа — извлечь и выполнить двоичный файл третьего этапа «wifianalyticsagent», который действует как загрузчик с C&C-сервера. Конечная полезная нагрузка неизвестна из-за того, что C&C-сервер в настоящее время отключен.
Lazarus Group имеет большой опыт проведения кибератак на криптовалютные платформы в качестве механизма уклонения от санкций, позволяющего злоумышленникам получать несанкционированный доступ к корпоративным сетям и красть цифровые средства.
По словам экспертов, киберпреступники не предприняли никаких усилий для шифрования или запутывания двоичных файлов, что указывает на краткосрочный характер кампании или отсутствие опасений быть обнаруженными.

SECURITYLAB.RU