Киберпреступники продолжают заражать устройства с помощью поддельных вакансий.
Исследователи из ИБ-компании SentinelOne обнаружили новую кампанию северокорейской группировки Lazarus, направленной на пользователей macOS. Для проведения атак используются документы-приманки, рекламирующие вакансии компании по обмену криптовалюты Crypto.com.
Серия атак является частью кампании Operation In(ter)ception с фейковыми вакансиями Coinbase, которая, в свою очередь, является частью более широкой кампании под названием Operation Dream Job .
Точный вектор распространения вредоносного ПО остается неизвестным, но эксперты предполагают, что хакеры заманивают жертв посредством прямых сообщений в LinkedIn.
Цепочка атак начинается с развертывания двоичного файла Mach-O , дроппера, который запускает поддельный PDF-документ, содержащий списки вакансий на Crypto.com. В фоновом режиме он удаляет сохранение сеанса терминала («com.apple.Terminal.savedState»).
Загрузчик, похожий на библиотеку «safarifontagent», используемую в кампании с Coinbase, работает как полезная нагрузка второго этапа под названием «WifiAnalyticsServ.app». Этот файл является копией версии «FinderFontsUpdater.app».
Основная цель второго этапа — извлечь и выполнить двоичный файл третьего этапа «wifianalyticsagent», который действует как загрузчик с C&C-сервера. Конечная полезная нагрузка неизвестна из-за того, что C&C-сервер в настоящее время отключен.
Lazarus Group имеет большой опыт проведения кибератак на криптовалютные платформы в качестве механизма уклонения от санкций, позволяющего злоумышленникам получать несанкционированный доступ к корпоративным сетям и красть цифровые средства.
По словам экспертов, киберпреступники не предприняли никаких усилий для шифрования или запутывания двоичных файлов, что указывает на краткосрочный характер кампании или отсутствие опасений быть обнаруженными.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале