Il famigerato Lazarus Group ha continuato il suo modello di sfruttare opportunitร di lavoro non richieste per distribuire malware mirato al sistema operativo macOS di Apple.
Nell’ultima variante della campagna osservata dalla societร di sicurezza informatica SentinelOne la scorsa settimana, decoy documenta le posizioni pubblicitarie per la societร di scambio di criptovaluta con sede a Singapore Crypto [.] com sono stati utilizzati per montare gli attacchi.
L’ultima divulgazione si basa su precedenti risultati della societร di sicurezza informatica slovacca ESET ad agosto, cheย ha approfonditoย un annuncio di lavoro fasullo simile per la piattaforma di scambio di criptovaluta Coinbase.
Entrambi questi falsi annunci di lavoro sono solo l’ultimo di una serie di attacchi soprannominatiย Operation In(ter)ception, che, a sua volta, รจ un costituente di una campagna piรน ampia tracciata sotto il nomeย di Operation Dream Job.
Sebbene l’esatto vettore di distribuzione del malware rimanga sconosciuto, si sospetta che i potenziali bersagli siano individuati tramite messaggi diretti sul sito di rete aziendale LinkedIn.
Le intrusioni iniziano con la distribuzione di un binario Mach-O, unย contagocceย che avvia il documento PDF esca contenente gli annunci di lavoro in Crypto.com, mentre, in background, elimina loย stato salvatoย del terminale (“com.apple.Terminal.savedState”).
Il downloader, anch’esso simile alla libreria safarifontagent impiegata nella catena di attacco Coinbase, funge successivamente da condotto per un bundle di secondo stadio chiamato “WifiAnalyticsServ.app”, che รจ una versione copiata di “FinderFontsUpdater.app”.
“Lo scopo principale del secondo stadio รจ quello di estrarre ed eseguire il binario del terzo stadio, wifianalyticsagent”, hannoย dettoย i ricercatori di SentinelOne Dinesh Devadoss e Phil Stokes. “Questo funziona come un downloader da un server [comando e controllo].”
Il payload finale consegnato alla macchina compromessa รจ sconosciuto a causa del fatto che il server C2 responsabile dell’hosting del malware รจ attualmente offline.
Questi attacchi non sono isolati, perchรฉ il Gruppo Lazarus ha unaย storiaย di attacchiย informaticiย alle piattaforme blockchain e criptovaluta come meccanismo di elusione delle sanzioni, consentendo agli avversari di ottenere l’accesso non autorizzato alle reti aziendali e rubare fondi digitali.
“Gli attori delle minacce non hanno fatto alcuno sforzo per crittografare o offuscare nessuno dei binari, indicando probabilmente campagne a breve termine e / o poca paura di essere rilevati dai loro obiettivi”, hanno detto i ricercatori.