Група Лазарус су севернокорејски хакери који сада шаљу Немољен и лажни крипто послови усмерени на Апплеов мацОС оперативни систем. Хакерска група је применила малвер који спроводи напад.
Ову најновију варијанту кампање испитује компанија за сајбер безбедност СентинелОне.
Компанија за сајбер безбедност је открила да је хакерска група користила лажне документе за рекламне позиције за платформу за размену криптовалута са седиштем у Сингапуру под називом Црипто.цом и сходно томе спроводи хакове.
Најновија варијанта хакерске кампање названа је „Операција Ин(тер)цептион“. Наводно, пхисхинг кампања далеко циља само на Мац кориснике.
Утврђено је да је злонамерни софтвер који се користи за хакове идентичан оном који се користи у лажним Цоинбасе огласима за посао.
Прошлог месеца, истраживачи су приметили и открили да је Лазарус користио лажне послове у Цоинбасе-у како би преварио само кориснике мацОС-а да преузму малвер.
Како је група извела хакове на платформи Црипто.цом
Ово се сматра оркестрираним хаком. Ови хакери су закамуфлирали малвер као огласе за посао са популарних крипто берзи.
Ово се спроводи коришћењем добро дизајнираних и легитимних ПДФ докумената који приказују слободна радна места за различите позиције, као што је Арт Дирецтор-Цонцепт Арт (НФТ) у Сингапуру.
Према извештају компаније СентинелОне, овај нови мамац за крипто посао укључивао је циљање других жртава тако што их је Лазарус контактирао путем ЛинкедИн порука.
Наводећи додатне детаље у вези са хакерском кампањом, СентинелОне је навео,
Иако у овој фази није јасно како се малвер дистрибуира, ранији извештаји сугерисали су да актери претњи привлаче жртве путем циљаних порука на ЛинкедИну.
Ова два лажна огласа за посао су само најновији у низу напада који су названи Операција Ин(тер)цептион, а који су заузврат део шире кампање која потпада под ширу хакерску операцију под називом Операција Дреам Јоб.
Сродно читање: СТЕПН се удружио са блоком давања како би омогућио крипто донације за непрофитне организације
Мање јасноће о томе како се злонамерни софтвер дистрибуира
Безбедносна компанија која је разматрала ово напоменула је да још увек није јасно како се малвер циркулише.
Узимајући у обзир техничке детаље, СентинелОне је рекао да је капалица прве фазе Мацх-О бинарни фајл, који је исти као бинарни шаблон који је коришћен у варијанти Цоинбасе.
Прва фаза се састоји од креирања нове фасцикле у библиотеци корисника која испушта агента за постојаност.
Примарна сврха друге фазе је да издвоји и изврши бинарни фајл треће фазе, који делује као програм за преузимање са Ц2 сервера.
У савету је писало,
Актери претњи нису уложили никакав напор да шифрују или замаскирају било коју од бинарних датотека, што вероватно указује на краткорочне кампање и/или мали страх од откривања од стране њихових мета.
СентинелОне је такође поменуо да се чини да Операција Ин(тер)цептион такође проширује мете са корисника платформи за размену криптовалута на њихове запослене, јер изгледа као „што може бити комбиновани напор да се спроведе и шпијунажа и крађа криптовалута“.
Извор: хттпс://битцоинист.цом/лазарус-хацкер-гроуп-таргетс-мацос-црипто-јобс/