Il Lazarus Group è costituito da hacker nordcoreani che ora inviano lavori crittografici non richiesti e falsi mirati al sistema operativo macOS di Apple. Il gruppo di hacker ha distribuito malware che conduce l'attacco.
Quest'ultima variante della campagna è al vaglio della società di sicurezza informatica SentinelOne.
La società di sicurezza informatica ha scoperto che il gruppo di hacker ha utilizzato documenti esca per posizioni pubblicitarie per la piattaforma di scambio di criptovalute con sede a Singapore chiamata Crypto.com e sta effettuando gli hack di conseguenza.
L'ultima variante della campagna di hacking è stata denominata "Operazione In(ter)ception". Secondo quanto riferito, la campagna di phishing prende di mira solo gli utenti Mac di gran lunga.
È stato riscontrato che il malware utilizzato per gli hack è identico a quelli utilizzati nei falsi annunci di lavoro di Coinbase.
Il mese scorso, i ricercatori hanno osservato e scoperto che Lazarus ha utilizzato false offerte di lavoro di Coinbase per indurre solo gli utenti macOS a scaricare malware.
In che modo il gruppo ha condotto hack sulla piattaforma Crypto.com
Questo è stato considerato un hack orchestrato. Questi hacker hanno camuffato il malware come annunci di lavoro da popolari scambi di criptovalute.
Ciò viene condotto utilizzando documenti PDF ben progettati e apparentemente legittimi che mostrano offerte di lavoro pubblicitario per varie posizioni, come Art Director-Concept Art (NFT) a Singapore.
Secondo un rapporto di SentinelOne, questo nuovo lavoro di cripto esca includeva il prendere di mira altre vittime contattandole sui messaggi di LinkedIn di Lazarus.
Fornendo ulteriori dettagli sulla campagna hacker, SentinelOne ha dichiarato,
Sebbene in questa fase non sia chiaro come viene distribuito il malware, rapporti precedenti suggerivano che gli attori delle minacce attiravano le vittime tramite messaggi mirati su LinkedIn.
Questi due falsi annunci di lavoro sono solo gli ultimi di una serie di attacchi che sono stati chiamati Operazione In(ter)ception, e che a sua volta fa parte di una campagna più ampia che rientra nell'operazione di hacking più ampia chiamata Operazione Dream Job.
Lettura correlata: STEPN collabora con The Giving Block per abilitare le donazioni crittografiche per le organizzazioni non profit
Meno chiarezza su come viene distribuito il malware
La società di sicurezza che ha esaminato questo problema ha affermato che non è ancora chiaro come venga fatto circolare il malware.
Considerando gli aspetti tecnici, SentinelOne ha affermato che il contagocce del primo stadio è un binario Mach-O, che è lo stesso di un binario modello che è stato utilizzato nella variante Coinbase.
La prima fase consiste nella creazione di una nuova cartella nella libreria dell'utente che rilascia un agente di persistenza.
Lo scopo principale della seconda fase è estrarre ed eseguire il binario della terza fase, che funge da downloader dal server C2.
L'avviso diceva
Gli attori delle minacce non hanno fatto alcuno sforzo per crittografare o offuscare nessuno dei binari, forse indicando campagne a breve termine e/o poca paura di essere scoperti dai loro obiettivi.
SentinelOne ha anche affermato che l'operazione In(ter)ception sembra estendere gli obiettivi dagli utenti delle piattaforme di scambio di criptovalute ai loro dipendenti, poiché sembra "quello che potrebbe essere uno sforzo combinato per condurre sia lo spionaggio che il furto di criptovaluta".
Il prezzo di Bitcoin è stato di $ 19.400 nel grafico di un giorno | Fonte: BTCUSD su TradingView Immagine in evidenza da Freepik, Grafico: TradingView.com