O Sentinel One descobriu que o grupo de hackers norte-coreano Lazarus tem como alvo seletivo os usuários do macOS. Os invasores estão usando criptografia falsa[.]com jobs para hackear desenvolvedores e artistas digitais na comunidade de criptomoedas. Supõe-se que no longo prazo, os invasores pretendem roubar os ativos digitais e criptomoedas de suas vítimas.
Por falar nisso, dissemos que o Grupo Norte Coreano Lázaro Ataca Empresas de Energia.
Deixe-me lembrá-lo também que Crypto.com é uma das principais plataformas de troca de criptomoedas do mundo. A empresa ganhou atenção popular em 2021 quando adquiriu o Centro Staples de Los Angeles e renomeou-o como Arena Crypto.com, seguido por uma série de comerciais de televisão.
Sentinela Um analistas escrevem que a campanha, que visa pessoas que trabalham na indústria de criptomoedas, foi realizado por hackers desde 2020. Recentemente, percebeu-se que os invasores exploram a marca de outra conhecida bolsa de criptomoedas, Base de moedas, em seus ataques, e agora eles mudaram para Crypto.com e estão atacando Mac OS Usuários.
Tipicamente, Lazarus alcançará seus alvos através LinkedIn, enviando-lhes mensagens diretas informando-os sobre um trabalho interessante e bem remunerado que a Crypto.com supostamente está oferecendo a eles.
Tal como acontece com campanhas anteriores direcionadas ao macOS, os hackers enviam às vítimas um arquivo binário disfarçado de PDF que contém um arquivo PDF de 26 páginas chamado Crypto.com_Job_Opportunities_2022_confidential.pdf e informações sobre empregos no Crypto.com.
No fundo, esse Macho binário cria uma pasta (Preferência Wi-Fi) no diretório Library e implanta os arquivos do segundo e terceiro estágio. A segunda etapa é o arquivo WifiAnalyticsServ.app, que está fixado no sistema (agente wifanalytics) e eventualmente se conecta ao servidor de controle em market.contradecapital[.]com, de onde recebe o final WiFiCloudWidget carga útil.
Porque os atacantes’ binários são assinados, eles podem ignorar da Apple o gatekeeper verifica e executa como software confiável.
Infelizmente, os pesquisadores não conseguiram estudar a carga útil final do grupo, como os hackers’ C&O servidor C já estava fora do ar no momento da investigação. No entanto, eles observam que há algumas indicações de que esta operação é de curta duração, o que é bastante típico das campanhas de phishing do Lazarus.
