Хакеры Lazarus используют блокчейн для найма пользователей macOS

Lazarus Lazarus Group SentinelOne Crypto.com криптовалюта Mach-O macOS дроппер LinkedIn Coinbase C&C-сервер
Киберпреступники продолжают заражать устройства с помощью поддельных вакансий.

Хакеры Lazarus используют блокчейн для найма пользователей macOS

Исследователи из ИБ-компании SentinelOne
обнаружили новую кампанию
северокорейской группировки Lazarus, направленной на пользователей macOS. Для проведения атак используются документы-приманки, рекламирующие вакансии компании по обмену криптовалюты Crypto.com.
Серия атак является частью кампании
Operation In(ter)ception
с фейковыми вакансиями Coinbase, которая, в свою очередь, является частью более широкой кампании под названием
Operation Dream Job .
Точный вектор распространения вредоносного ПО остается неизвестным, но эксперты предполагают, что хакеры заманивают жертв посредством прямых сообщений в LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных.»
data-html=»true» data-original-title=»LinkedIn»
>LinkedIn
.

Цепочка атак начинается с развертывания двоичного файла
Mach-O , дроппера, который запускает поддельный PDF-документ, содержащий списки вакансий на Crypto.com. В фоновом режиме он удаляет сохранение сеанса терминала («com.apple.Terminal.savedState»).
Загрузчик, похожий на библиотеку «safarifontagent», используемую в кампании с Coinbase — это безопасная онлайн-платформа для покупки, продажи, перевода и хранения цифровой валюты.»
data-html=»true» data-original-title=»Coinbase»
>Coinbase
, работает как полезная нагрузка второго этапа под названием «WifiAnalyticsServ.app». Этот файл является копией версии «FinderFontsUpdater.app».
Основная цель второго этапа — извлечь и выполнить двоичный файл третьего этапа «wifianalyticsagent», который действует как загрузчик с C&C-сервера. Конечная полезная нагрузка неизвестна из-за того, что C&C-сервер в настоящее время отключен.
Lazarus Group имеет большой опыт проведения кибератак на криптовалютные платформы в качестве механизма уклонения от санкций, позволяющего злоумышленникам получать несанкционированный доступ к корпоративным сетям и красть цифровые средства.
По словам экспертов, киберпреступники не предприняли никаких усилий для шифрования или запутывания двоичных файлов, что указывает на краткосрочный характер кампании или отсутствие опасений быть обнаруженными.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *