Finans

MacOS-brukere målrettet av Lazarus Hackers

09/29/2022
Bitcoin Ethereum Nyheter

  • Lazarus Group er nordkoreanske hackere
  • Hackerne sender nå uoppfordrede og falske kryptojobber
  • Den siste varianten av kampanjen blir gransket av SentinelOne

Lazarus Group er en gruppe nordkoreanske hackere som for tiden sender falske kryptojobber til Apples macOS-operativsystem uten å spørre etter dem. Skadevare som brukes av hackergruppen er det som starter angrepet.

Nettsikkerhetsfirmaet SentinelOne ser på denne siste varianten av kampanjen.

Nettsikkerhetsfirmaet har fastslått at hackergruppen annonserte stillinger for den Singapore-baserte kryptovalutautvekslingsplattformen Crypto.com ved å bruke lokkedokumenter, og den utfører angrepene deretter.

Bilde

Hvordan utførte gruppen hacks?

Operation In(ter)ception er navnet som er gitt til den nyeste varianten av hackerkampanjen. Ifølge rapporter er phishing-kampanjen primært rettet mot Mac-brukere.

Det har blitt oppdaget at skadelig programvare som brukes i hackene, er den samme som skadelig programvare som brukes i falske stillingsannonser på Coinbase.

Det har blitt antydet at dette var et planlagt hack. Malware har blitt forkledd av disse hackerne som stillingsannonser fra populære kryptovalutabørser.

Dette gjøres med godt utformede og legitime PDF-dokumenter som annonserer ledige stillinger for Singapore-baserte stillinger som Art Director-Concept Art (NFT). SentinelOnes rapport sier at Lazarus brukte LinkedIn-meldinger for å kontakte andre ofre som en del av denne nye kryptojobben.

LES OGSÅ: Mer enn 3000 BTC-overføringer tok søkelyset

Første trinns dropper er en Mach-O binær – SentinelOne 

Disse to falske jobbannonsene er bare de nyeste i en rekke angrep som har blitt kalt Operation In(ter)ception og er på sin side en del av en større kampanje som er en del av den større hackingoperasjonen kjent som Operation Dream Job . Begge disse kampanjene er en del av den større operasjonen.

Sikkerhetsselskapet som ser på dette, sa at måten skadevaren kommer seg rundt fortsatt er et mysterium. SentinelOne uttalte at det første trinnet er en Mach-O-binær, som er den samme som malbinæren som brukes i Coinbase-varianten, med tanke på detaljene.

Det første trinnet innebærer å slippe en persistensagent inn i en helt ny mappe i brukerens bibliotek.

Utvinning og kjøring av tredje trinns binær, som fungerer som en nedlaster fra C2-serveren, er den primære funksjonen til det andre trinnet.

Kilde: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/