Tập đoàn Lazarus do Triều Tiên hậu thuẫn đã bị phát hiện nhắm mục tiêu vào những người tìm việc bằng phần mềm độc hại có khả năng thực thi trên máy Mac của Apple với chipset Intel và M1.
Công ty an ninh mạng ESET của Slovakia đã liên kết nó với một chiến dịch có tên “Operation In (ter) ception” được tiết lộ lần đầu tiên vào tháng 6 năm 2020 và liên quan đến việc sử dụng các chiến thuật kỹ thuật xã hội để lừa nhân viên làm việc trong lĩnh vực hàng không và quân sự mở các tài liệu mời làm việc giả mạo.
Cuộc tấn công mới nhất không khác ở chỗ một mô tả công việc cho nền tảng trao đổi tiền điện tử Coinbase được sử dụng làm bệ khởi động để thả tệp thực thi Mach-O đã ký. Phân tích của ESET lấy từ một mẫu nhị phân đã được tải lên VirusTotal từ Brazil vào ngày 11 tháng 8 năm 2022.
“Phần mềm độc hại được tổng hợp cho cả Intel và Apple Silicon”, công ty cho biết trong một loạt các tweet. “Nó làm rơi ba tệp: một tài liệu PDF mồi nhử ‘Coinbase_online_careers_2022_07.pdf', một gói ‘FinderFontsUpdater.app' và một trình tải xuống ‘safarifontagent.'”
Tệp mồi nhử, trong khi có phần mở rộng .PDF, trên thực tế là một tệp thực thi Mach-O có chức năng như một ống nhỏ giọt để khởi chạy FinderFontsUpdater, đến lượt nó, thực thi safarifontsagent, một trình tải xuống được thiết kế để truy xuất tải trọng ở giai đoạn tiếp theo từ máy chủ từ xa.
ESET tuyên bố rằng sự thu hút đã được ký vào ngày 21 tháng 7 sử dụng chứng chỉ được cấp vào tháng 2 năm 2022 cho một nhà phát triển có tên Shankey Nohria. Apple đã thu hồi chứng chỉ vào ngày 12 tháng 8.
Điều đáng chú ý là phần mềm độc hại này là đa nền tảng, vì một tài liệu PDF tương đương với Windows đã được sử dụng để thả tệp .EXE có tên “Coinbase_online_careers_2022_07.exe” vào đầu tháng này, theo tiết lộ của nhà nghiên cứu Malwarebytes Hossein Jazi.
Tập đoàn Lazarus đã nổi lên một chuyên gia khi đóng giả làm đại diện nhân sự trên các nền tảng truyền thông xã hội như LinkedIn để nhắm mục tiêu đến các công ty có lợi ích chiến lược.
Tháng trước, có thông tin cho rằng vụ hack Axie Infinity trị giá 620 triệu đô la do tập thể gây ra là kết quả của việc một trong những nhân viên cũ của công ty bị lừa bởi một lời mời làm việc gian lận trên LinkedIn.
.
