Группировка Lazarus атакует жертв с помощью вредоносного ПО для Mac с чипсетами Intel и M1.
ESET связала атаки с вредоносной кампанией под названием "Operation In(ter)ception", которая была обнаружена в июне 2020 года. Тогда атаки базировались на социальной инженерии – под видом HR-менеджеров известных компаний аэрокосмической и оборонной промышленности (в том числе Collins Aerospace и General Dynamics) злоумышленники рассылали через LinkedIn фальшивые предложения о работе. Если с жертвой удавалось установить контакт, киберпреступники присылали связанные с предлагаемой вакансией документы, заражавшие сети компании вредоносным ПО.
Текущие атаки ничем не отличаются от Operation In(ter)ception, поскольку злоумышленники продолжают обманывать пользователей, распространяя вредоносное ПО, замаскированное под описание вакансий. Оказавшись в системе жертвы, вредонос выгружает три файла: фейковый PDF-документ ‘ Coinbase_online_careers_2022_07.pdf ’, пакет ‘ FinderFontsUpdater.app ’ и загрузчик ‘ safarifontagent ’.
И хотя Coinbase_online_careers_2022_07.pdf имеет расширение .pdf, он на самом деле является исполняемым файлом Mach-O, работающим в качестве дроппера для FinderFontsUpdater, который, в свою очередь, развертывает safarifontsagent – загрузчик, предназначенный для получения полезной нагрузки с сервера хакеров.
ESET заявила, что PDF-файл был подписан 21 июля с использованием сертификата, которы Apple выдала в феврале 2022 года разработчику по имени Шанки Нохрия. Впоследствии, 12 августа, Apple отозвала этот сертификат.
Кроме того, ИБ-специалисту Хоссейну Джази удалось выяснить, что вредонос является кроссплатформенным и использует аналогичный PDF-документ для распространения .exe-файла под названием ‘Coinbase_online_careers_2022_07.exe’.
Одно найти легче, чем другое. Спойлер: это не темная материя