Lazarus Hacker Group se dirige a los usuarios de MacOS a través de Crypto Works

El Grupo Lazarus está formado por piratas informáticos de Corea del Norte que ahora envían trabajos de encriptación falsos y no solicitados dirigidos al sistema operativo macOS de Apple. El grupo de hackers ha desplegado malware que está llevando a cabo el ataque.

Esta última variante de la campaña está siendo analizada por la empresa de ciberseguridad SentinelOne.

La empresa de ciberseguridad descubrió que el grupo de piratas informáticos estaba utilizando documentos señuelo para anunciar puestos para la plataforma de intercambio de criptomonedas con sede en Singapur llamada Crypto.com y realiza los ataques en consecuencia.

La última variante de la campaña de piratería se ha denominado "Operación In (ter) ception". Aparentemente, la campaña de phishing solo se dirige a los usuarios de Mac con diferencia.

El malware utilizado para los ataques resultó ser idéntico al utilizado en las publicaciones de trabajo falsas de Coinbase.

El mes pasado, los investigadores observaron y descubrieron que Lazarus estaba usando anuncios de trabajo falsos de Coinbase solo para engañar a los usuarios de macOS para que descargaran malware.

Cómo el grupo llevó a cabo hacks en la plataforma Crypto.com

Esto se consideró un hack orquestado. Estos piratas informáticos camuflaron el malware como ofertas de trabajo de intercambios criptográficos populares.

Esto se logra mediante el uso de documentos PDF bien diseñados y de aspecto legítimo que muestran las vacantes de trabajo anunciadas para varios puestos, como Director de Arte-Arte Conceptual (NFT) en Singapur.

Según un informe de SentinelOne, este nuevo señuelo de criptotrabajo incluía apuntar a otras víctimas contactándolas a través de los mensajes de LinkedIn de Lazarus.

Proporcionando detalles adicionales sobre la campaña de piratería, SentinelOne dijo:

Aunque en esta etapa no está claro cómo se distribuye el malware, informes anteriores sugirieron que los actores de amenazas atraían a las víctimas a través de publicaciones específicas de LinkedIn.

Estos dos anuncios de trabajo falsos son solo los últimos de una serie de ataques que se han denominado Operation In(ter)ception, y que a su vez son parte de una campaña más grande que se enmarca en Operation In(ter)ception. Trabajo.

Lectura relacionada: STEPN se asocia con The Giving Block para permitir donaciones criptográficas para organizaciones sin fines de lucro

Menos claridad sobre cómo se distribuye el malware

La empresa de seguridad que investigó este asunto mencionó que aún no está claro cómo se distribuye el malware.

Teniendo en cuenta los detalles técnicos, SentinelOne declaró que el cuentagotas de la primera etapa es un binario Mach-O, que es el mismo modelo binario que se usó en la variante Coinbase.

El primer paso es crear una nueva carpeta en la biblioteca del usuario que deposite un agente de persistencia.

El objetivo principal de la segunda etapa es extraer y ejecutar el binario de la tercera etapa, que actúa como descargador del servidor C2.

La reseña decía,

Los actores de amenazas no hicieron ningún esfuerzo por cifrar u ofuscar ninguno de los binarios, lo que posiblemente indica campañas a corto plazo y/o poco temor a ser detectados por sus objetivos.

SentinelOne también mencionó que Operation In(ter)ception también parece estar ampliando los objetivos de los usuarios de la plataforma de intercambio de criptomonedas a sus empleados, ya que parece "lo que podría ser un esfuerzo combinado para realizar espionaje y robo de criptomonedas".

Bitcoin tenía un precio de $ 19,400 en el gráfico de 1 día | Fuente: BTCUSD en TradingView