El Grupo Lazarus son piratas informáticos de Corea del Norte que ahora envían trabajos criptográficos falsos y no solicitados dirigidos al sistema operativo macOS de Apple. El grupo de hackers ha desplegado malware que lleva a cabo el ataque.
Esta última variante de la campaña está siendo analizada por la empresa de ciberseguridad SentinelOne.
La compañía de ciberseguridad descubrió que el grupo de piratas informáticos usó documentos señuelo para posiciones publicitarias para la plataforma de intercambio de criptomonedas con sede en Singapur llamada cripto.com y está llevando a cabo los ataques en consecuencia.
La última variante de la campaña de piratería se ha denominado “Operación In(ter)ception”. Según se informa, la campaña de phishing solo se dirige a los usuarios de Mac con diferencia.
Se ha descubierto que el malware utilizado para los ataques es idéntico al utilizado en las publicaciones de trabajo falsas de Coinbase.
El mes pasado, los investigadores observaron y descubrieron que Lazarus usó ofertas de trabajo falsas de Coinbase para engañar solo a los usuarios de macOS para que descargaran malware.
¿Cómo realizó el grupo hacks en la plataforma cripto.com?
Esto ha sido considerado como un hack orquestado. Estos piratas informáticos han camuflado malware como ofertas de trabajo de intercambios de cifrado populares.
Esto se lleva a cabo mediante el uso de documentos PDF bien diseñados y de apariencia legítima que muestran vacantes publicitarias para varios puestos, como Director de arte-Arte conceptual (NFT) en Singapur.
Según un informe de SentinelOne, este nuevo señuelo de criptotrabajo incluía apuntar a otras víctimas al contactarlas en los mensajes de LinkedIn de Lazarus.
Al proporcionar detalles adicionales sobre la campaña de piratas informáticos, SentinelOne declaró:
Aunque en esta etapa no está claro cómo se distribuye el malware, informes anteriores sugirieron que los actores de amenazas atraían a las víctimas a través de mensajes dirigidos en LinkedIn.
Estos dos anuncios de trabajo falsos son solo los últimos de una serie de ataques que se han denominado Operation In(ter)ception y que, a su vez, forman parte de una campaña más amplia que se enmarca en la operación de piratería más amplia denominada Operation Dream Job.
Lectura relacionada: STEPN se asocia con The Giving Block para permitir donaciones criptográficas para organizaciones sin fines de lucro
Menos claridad sobre cómo se distribuye el malware
La compañía de seguridad que investiga esto mencionó que aún no está claro cómo se distribuye el malware.
Teniendo en cuenta los tecnicismos, SentinelOne dijo que el cuentagotas de la primera etapa es un binario Mach-O, que es el mismo que un binario de plantilla que se ha utilizado en la variante Coinbase.
La primera etapa consiste en crear una nueva carpeta en la biblioteca del usuario que suelta un agente de persistencia.
El objetivo principal de la segunda etapa es extraer y ejecutar el binario de la tercera etapa, que actúa como descargador del servidor C2.
El aviso decía,
Los actores de la amenaza no han hecho ningún esfuerzo por cifrar u ofuscar ninguno de los binarios, lo que posiblemente indica campañas a corto plazo y/o poco temor a ser detectados por sus objetivos.
SentinelOne también mencionó que Operation In(ter)ception también parece estar extendiendo los objetivos de los usuarios de plataformas de intercambio de criptomonedas a sus empleados, ya que parece “lo que puede ser un esfuerzo combinado para llevar a cabo espionaje y robo de criptomonedas”.
Bitcoin tenía un precio de $ 19,400 en el gráfico de un día | Fuente: BTCUSD en TradingView