Die Lazarus-Gruppe sind nordkoreanische Hacker, die jetzt senden Unverlangt und gefälschte Krypto-Jobs, die auf Apples macOS-Betriebssystem abzielen. Die Hackergruppe hat Malware eingesetzt, die den Angriff durchführt.
Diese neueste Variante der Kampagne wird von der Cybersicherheitsfirma SentinelOne unter die Lupe genommen.
Das Cybersicherheitsunternehmen hat herausgefunden, dass die Hackergruppe Lockdokumente verwendet hat, um Positionen für die in Singapur ansässige Kryptowährungsbörse namens Crypto.com zu bewerben, und führt die Hacks entsprechend durch.
Die neueste Variante der Hacking-Kampagne trägt den Namen „Operation In(ter)ception“. Berichten zufolge zielt die Phishing-Kampagne bei weitem nur auf Mac-Benutzer ab.
Es wurde festgestellt, dass die für die Hacks verwendete Malware mit der in gefälschten Coinbase-Stellenausschreibungen verwendeten identisch ist.
Letzten Monat haben Forscher beobachtet und herausgefunden, dass Lazarus gefälschte Coinbase-Stellenangebote verwendet hat, um nur MacOS-Benutzer zum Herunterladen von Malware zu verleiten.
Wie hat die Gruppe Hacks auf der Crypto.com-Plattform durchgeführt?
Dies wurde als orchestrierter Hack angesehen. Diese Hacker haben Malware als Stellenausschreibungen von beliebten Krypto-Börsen getarnt.
Dies geschieht mithilfe von gut gestalteten und seriös wirkenden PDF-Dokumenten, die Stellenausschreibungen für verschiedene Positionen anzeigen, wie z. B. Art Director-Concept Art (NFT) in Singapur.
Laut einem Bericht von SentinelOne beinhaltete dieser neue Krypto-Jobköder, andere Opfer ins Visier zu nehmen, indem man sie über LinkedIn-Nachrichten von Lazarus kontaktierte.
SentinelOne gab zusätzliche Details zur Hackerkampagne an und erklärte:
Obwohl zu diesem Zeitpunkt nicht klar ist, wie die Malware verbreitet wird, deuteten frühere Berichte darauf hin, dass Bedrohungsakteure Opfer über gezielte Nachrichten auf LinkedIn anlocken.
Diese beiden gefälschten Stellenanzeigen sind nur die neuesten in einer Reihe von Angriffen, die als Operation In(ter)ception bezeichnet wurden und die wiederum Teil einer umfassenderen Kampagne sind, die unter die umfassendere Hacking-Operation namens Operation Dream Job fällt.
Zugehöriges Lesen: STEPN arbeitet mit The Giving Block zusammen, um Krypto-Spenden für gemeinnützige Organisationen zu ermöglichen
Weniger Klarheit darüber, wie die Malware verteilt wird
Das Sicherheitsunternehmen, das dies untersuchte, erwähnte, dass noch unklar sei, wie die Malware verbreitet werde.
In Anbetracht der technischen Einzelheiten sagte SentinelOne, dass der Dropper der ersten Stufe eine Mach-O-Binärdatei ist, die mit einer Vorlagen-Binärdatei identisch ist, die in der Coinbase-Variante verwendet wurde.
Die erste Phase besteht darin, einen neuen Ordner in der Bibliothek des Benutzers zu erstellen, der einen Persistenz-Agent ablegt.
Der Hauptzweck der zweiten Stufe besteht darin, die Binärdatei der dritten Stufe zu extrahieren und auszuführen, die als Downloader vom C2-Server fungiert.
Der Hinweis lautete,
Die Bedrohungsakteure haben keine Anstrengungen unternommen, um eine der Binärdateien zu verschlüsseln oder zu verschleiern, was möglicherweise auf kurzfristige Kampagnen und/oder geringe Angst vor Entdeckung durch ihre Ziele hindeutet.
SentinelOne erwähnte auch, dass Operation In(ter)ception anscheinend auch die Ziele von Benutzern von Krypto-Austauschplattformen auf ihre Mitarbeiter ausdehnt, da es so aussieht, als „was eine kombinierte Anstrengung sein könnte, um sowohl Spionage als auch Diebstahl von Kryptowährungen durchzuführen“.
Quelle: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/