Η περιβόητη ομάδα hacking Lazarus, χρησιμοποιεί τώρα ψεύτικες προσφορές εργασίας στο «Crypto.com», στοχεύοντας προγραμματιστές και καλλιτέχνες στον χώρο των κρυπτονομισμάτων, για να κλέψει ψηφιακά περιουσιακά στοιχεία και κρυπτονομίσματα.
Δείτε επίσης: Η ομάδα Lazarus στοχοποιεί τους παρόχους ενέργειας των ΗΠΑ
Το Crypto.com είναι μια από τις κορυφαίες πλατφόρμες ανταλλαγής κρυπτονομισμάτων στον κόσμο. Η εταιρεία έγινε ιδιαίτερα γνωστή το 2021, όταν αγόρασε και μετονόμασε το γήπεδο του Los Angeles Staples Center σε «Crypto.com Arena» και ξεκίνησε μια σειρά τηλεοπτικών διαφημίσεων που προωθούν την υπηρεσία.
Η ομάδα hacking Lazarus διεξάγει μια καμπάνια με την ονομασία «Operation In(ter)ception» από το 2020, που στοχεύει άτομα που εργάζονται στη βιομηχανία κρυπτονομισμάτων.
Στόχος της είναι να εξαπατήσει τα θύματά της να ανοίξουν κακόβουλα αρχεία που μολύνουν συστήματα με κακόβουλο λογισμικό που μπορεί να χρησιμοποιηθεί για την παραβίαση των εσωτερικών δικτύων εταιρειών κρύπτο για την κλοπή μεγάλων ποσοτήτων κρυπτονομισμάτων, NFT ή για κατασκοπεία.
Τον Αύγουστο του 2022, η Lazarus ανακαλύφθηκε ότι στοχεύει εργαζόμενους στον τομέα της πληροφορικής με κακόβουλες προσφορές εργασίας που υποδύονταν την Coinbase και στόχευαν χρήστες με κακόβουλο λογισμικό Windows ή κακόβουλο λογισμικό macOS.
Σε μια νέα αναφορά του Sentinel One, οι χάκερ έχουν πλέον στραφεί στο να μιμούνται το Crypto.com στις επιθέσεις phishing τους χρησιμοποιώντας το ίδιο κακόβουλο λογισμικό macOS που παρατηρήθηκε σε προηγούμενες καμπάνιες.
Δείτε ακόμα: Η πλατφόρμα cryptocurrencies deBridge Finance στοχοποιήθηκε από το Lazarus
Η Lazarus συνήθως προσεγγίζει τους στόχους μέσω του LinkedIn, στέλνοντάς τους ένα άμεσο μήνυμα για να τους ενημερώσει για μια επικερδή θέση εργασίας σε μια μεγάλη εταιρεία.
Όπως και σε προηγούμενες καμπάνιες macOS, οι χάκερ έστειλαν ένα δυαδικό macOS που παρουσιάζεται ως PDF που περιέχει ένα αρχείο PDF 26 σελίδων με το όνομα “Crypto.com_Job_Opportunities_2022_confidential.pdf” που περιέχει υποτιθέμενες κενές θέσεις εργασίας στο Crypto.com.
Στο παρασκήνιο, το δυαδικό Mach-O δημιουργεί έναν φάκελο (“WifiPreference”) στον κατάλογο της Βιβλιοθήκης του χρήστη και ρίχνει τα αρχεία δεύτερου και τρίτου σταδίου.
Το δεύτερο στάδιο είναι το “WifiAnalyticsServ.app” και πρωταρχικός σκοπός του είναι να εξάγει και να εκτελέσει το δυαδικό τρίτου σταδίου, το οποίο με τη σειρά του λειτουργεί ως πρόγραμμα λήψης από έναν διακομιστή C2.
Οι ερευνητές ασφαλείας δεν μπόρεσαν να ανακτήσουν το τελικό ωφέλιμο φορτίο για ανάλυση, επειδή ο C2 ήταν εκτός σύνδεσης τη στιγμή της έρευνας.
Ωστόσο, παρατήρησαν χαρακτηριστικά που υποδεικνύουν μια βραχύβια λειτουργία, η οποία είναι τυπική για τις εκστρατείες «Operation In(ter) ception».
Τα δυαδικά αρχεία υπογράφονται με μια ad hoc υπογραφή, ώστε να μπορούν να περάσουν τους ελέγχους Apple Gatekeeper και να εκτελεστούν ως αξιόπιστο λογισμικό.
Δείτε επίσης: ΗΠΑ: Η ομάδα Lazarus χρησιμοποιεί κακόβουλα cryptocurrency apps
Πιθανότατα, η Lazarus σύντομα θα στραφεί στην πλαστοπροσωπία μιας διαφορετικής εταιρείας, ενώ θα διατηρήσει τα υπόλοιπα στοιχεία της επίθεσης σε μεγάλο βαθμό αμετάβλητα.
Εάν εργάζεστε σε μια εταιρεία κρυπτογράφησης, να είστε προσεκτικοί με τις αυτόκλητες προσφορές εργασίας στο LinkedIn, καθώς μια στιγμή απροσεξίας είναι αρκετή για να λειτουργήσει ως δούρειος ίππος για τον εργοδότη σας.
