Grupi Lazarus janë hakerë të Koresë së Veriut që tani po dërgojnë i pakërkuar dhe punë të rreme të kriptove të synuara drejt sistemit operativ macOS të Apple. Grupi i hakerëve ka vendosur malware që kryen sulmin.
Ky variant i fundit i fushatës po shqyrtohet nga kompania e sigurisë kibernetike SentinelOne.
Kompania e sigurisë kibernetike zbuloi se grupi i hakerëve përdorte dokumente mashtrimi për pozicione reklamuese për platformën e shkëmbimit të kriptomonedhave me bazë në Singapor të quajtur Crypto.com dhe po kryen hakerat në përputhje me rrethanat.
Varianti i fundit i fushatës së hakerimit është quajtur “Operation In(ter)ception”. Thuhet se fushata e phishing synon vetëm përdoruesit e Mac deri më tani.
Malware i përdorur për hakimet është gjetur të jetë identik me ato të përdorura në postimet e rreme të punës në Coinbase.
Muajin e kaluar, studiuesit vëzhguan dhe zbuluan se Lazarus përdorte hapje të rreme pune në Coinbase për të mashtruar vetëm përdoruesit e macOS për të shkarkuar malware.
Si i kreu grupi hakimet në platformën Crypto.com
Ky është konsideruar të jetë një hak i orkestruar. Këta hakerë kanë kamufluar malware si postime pune nga shkëmbimet e njohura të kriptove.
Kjo kryhet duke përdorur dokumente PDF të dizajnuara mirë dhe të ligjshme që shfaqin vende të lira reklamimi për pozicione të ndryshme, si për shembull Art Director-Concept Art (NFT) në Singapor.
Sipas një raporti nga SentinelOne, kjo joshje e re e punës së kriptove përfshinte shënjestrimin e viktimave të tjera duke i kontaktuar ato në mesazhet LinkedIn nga Lazarus.
Duke dhënë detaje shtesë në lidhje me fushatën e hakerëve, SentinelOne deklaroi,
Edhe pse në këtë fazë nuk është e qartë se si po shpërndahet malware, raportet e mëparshme sugjeruan se aktorët e kërcënimit po tërhiqnin viktima përmes mesazheve të synuara në LinkedIn.
Këto dy reklama të rreme pune janë vetëm të fundit në një mori sulmesh të quajtur Operation In(ter)ception, dhe që nga ana tjetër është pjesë e një fushate më të gjerë e cila bie nën operacionin më të gjerë të hakerimit të quajtur Operation Dream Job.
Leximi i lidhur: STEPN partnerët me bllokun e dhënies për të mundësuar donacione kripto për organizatat jofitimprurëse
Më pak qartësi se si shpërndahet malware
Kompania e sigurisë që po shqyrton këtë përmendi se është ende e paqartë se si po qarkullon malware.
Duke marrë parasysh veçoritë teknike, SentinelOne tha se pikatori i fazës së parë është një binar Mach-O, i cili është i njëjtë me një binar shabllon që është përdorur në variantin Coinbase.
Faza e parë konsiston në krijimin e një dosjeje të re në bibliotekën e përdoruesit që hedh një agjent të qëndrueshmërisë.
Qëllimi kryesor i fazës së dytë është nxjerrja dhe ekzekutimi i binarit të fazës së tretë, i cili vepron si shkarkues nga serveri C2.
Lexohet këshilla,
Aktorët e kërcënimit nuk kanë bërë asnjë përpjekje për të enkriptuar ose turbulluar ndonjë prej binareve, ndoshta duke treguar fushata afatshkurtra dhe/ose pak frikë nga zbulimi nga objektivat e tyre.
SentinelOne përmendi gjithashtu se Operacioni In(ter)ception gjithashtu duket se po zgjeron objektivat nga përdoruesit e platformave të shkëmbimit të kriptove te punonjësit e tyre, pasi duket se "çfarë mund të jetë një përpjekje e kombinuar për të kryer spiunazh dhe vjedhje të kriptomonedhave".
Burimi: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/