Sentinel One ha descubierto que el grupo de hackers norcoreano Lazarus se dirige selectivamente a los usuarios de macOS. Los atacantes están usando criptomonedas falsas[.]com trabajos para hackear desarrolladores y artistas digitales en la comunidad de criptomonedas. Se supone que a largo plazo, Los atacantes tienen como objetivo robar los activos digitales y las criptomonedas de sus víctimas..
A propósito, dijimos que el Grupo norcoreano Lázaro Ataques a empresas energéticas.
Permítanme recordarles también que Crypto.com es una de las plataformas de intercambio de criptomonedas líderes en el mundo.. La empresa ganó la atención generalizada en 2021 cuando adquirió el Centro Staples de Los Ángeles y lo renombró como Arena Crypto.com, seguido de una serie de comerciales de televisión.
centinela uno Los analistas escriben que la campaña., que se dirige a personas que trabajan en la industria de las criptomonedas, ha sido llevado a cabo por piratas informáticos desde 2020. Recientemente, Se descubrió que los atacantes explotan la marca de otro conocido intercambio de criptomonedas., Coinbase, en sus ataques, y ahora se han cambiado a Crypto.com y están atacando Mac OS usuarios.
Típicamente, Lazarus llegará a sus objetivos a través de LinkedIn, enviándoles mensajes directos informándoles sobre un trabajo interesante y bien remunerado que supuestamente Crypto.com les ofrece.
Al igual que con campañas anteriores dirigidas a macOS, Los piratas informáticos envían a las víctimas un archivo binario disfrazado de PDF que contiene un archivo PDF de 26 páginas llamado Crypto.com_Job_Opportunities_2022_confidential.pdf e información sobre trabajos en Crypto.com..
En el fondo, este Macho binario crea una carpeta (Preferencia Wifi) en el directorio de la biblioteca e implementa los archivos de la segunda y tercera etapa. La segunda etapa es el archivo WifiAnalyticsServ.app, que está fijado en el sistema (agenteanalíticowifan) y finalmente se conecta al servidor de control en market.contradecapital[.]com, de donde recibe la final WiFiNubeWidget carga útil.
porque los atacantes’ los binarios están firmados, pueden pasar por alto de manzana El gatekeeper comprueba y ejecuta como software confiable..
Desgraciadamente, los investigadores no pudieron estudiar la carga útil final del grupo, como los piratas informáticos’ C&El servidor C ya estaba inactivo en el momento de la investigación.. Sin embargo, Señalan que hay algunos indicios de que esta operación será de corta duración., lo cual es bastante típico de las campañas de phishing de Lazarus..