Исследователи из ИБ-компании SentinelOne обнаружили новую кампанию северокорейской группировки Lazarus, направленной на пользователей macOS. Для проведения атак используются документы-приманки, рекламирующие вакансии компании по обмену криптовалюты Crypto.com.
Серия атак является частью кампании Operation In(ter)ception
с фейковыми вакансиями Coinbase, которая, в свою очередь, является частью более широкой кампании под названием Operation Dream Job .
Точный вектор распространения вредоносного ПО остается неизвестным, но эксперты предполагают, что хакеры заманивают жертв посредством прямых сообщений в LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных.
» data-html=»true» data-original-title=»LinkedIn»>LinkedIn.
Цепочка атак начинается с развертывания двоичного файла Mach-O , дроппера, который запускает поддельный PDF-документ, содержащий списки вакансий на Crypto.com. В фоновом режиме он удаляет сохранение сеанса терминала («com.apple.Terminal.savedState»).
Загрузчик, похожий на библиотеку «safarifontagent», используемую в кампании с Coinbase — это безопасная онлайн-платформа для покупки, продажи, перевода и хранения цифровой валюты.
» data-html=»true» data-original-title=»Coinbase»>Coinbase, работает как полезная нагрузка второго этапа под названием «WifiAnalyticsServ.app». Этот файл является копией версии «FinderFontsUpdater.app».
Основная цель второго этапа — извлечь и выполнить двоичный файл третьего этапа «wifianalyticsagent», который действует как загрузчик с C&C-сервера. Конечная полезная нагрузка неизвестна из-за того, что C&C-сервер в настоящее время отключен.
Lazarus Group имеет большой опыт проведения кибератак на криптовалютные платформы в качестве механизма уклонения от санкций, позволяющего злоумышленникам получать несанкционированный доступ к корпоративным сетям и красть цифровые средства.
По словам экспертов, киберпреступники не предприняли никаких усилий для шифрования или запутывания двоичных файлов, что указывает на краткосрочный характер кампании или отсутствие опасений быть обнаруженными.