O APT norte-coreano está usando um anúncio de emprego falso para a Coinbase em uma campanha de ciberespionagem direcionada a usuários de sistemas baseados em Apple e Intel.
APT norte-coreano Lázaro está à altura de seus velhos truques com uma campanha de ciberespionagem direcionada a engenheiros com uma postagem de emprego falsa que tenta espalhar malware para macOS. O executável malicioso do Mac usado na campanha tem como alvo os sistemas baseados em chip da Apple e da Intel.
A campanha, identificada por pesquisadores da Laboratórios de Pesquisa ESET e revelado em um série de tweets postado terça-feira, personifica comerciante de criptomoedas Coinbase em uma descrição de trabalho alegando procurar um gerente de engenharia para segurança do produto, os pesquisadores divulgaram.
Apelidada de Operation In(ter)ception, a campanha recente descarta um executável do Mac assinado disfarçado como uma descrição de trabalho para a Coinbase, que os pesquisadores descobriram carregado no VirusTotal do Brasil, escreveram eles.
“Malware é compilado para Intel e Apple Silicon”, de acordo com um dos tweets. “Ele descarta três arquivos: um documento PDF chamariz Coinbase_online_careers_2022_07.pdf, um pacote http[://]FinderFontsUpdater[.]app e um downloader safarifontagent.”
Semelhanças com malware anterior
O malware é semelhante a uma amostra descoberto pela ESET em maio, que também incluía um executável assinado disfarçado de descrição de trabalho, foi compilado tanto para a Apple quanto para a Intel, e descartou um PDF chamariz, disseram os pesquisadores.
No entanto, o malware mais recente é assinado em 21 de julho, de acordo com seu carimbo de data/hora, o que significa que é algo novo ou uma variante do malware anterior. Ele usa um certificado emitido em fevereiro de 2022 para um desenvolvedor chamado Shankey Nohria e que foi revogado pela Apple em 12 de agosto, disseram pesquisadores. O aplicativo em si não foi autenticado.
A Operation In(ter)ception também tem uma versão complementar do malware para Windows, lançando a mesma isca e detectada em 4 de agosto pela Malwarebytes pesquisador de inteligência de ameaças Jazi, de acordo com a ESET.
O malware usado na campanha também se conecta a uma infraestrutura de comando e controle (C2) diferente do malware descoberto em maio, https:[//]concrecapital[.]com/%user%[.]jpg, que não respondeu quando pesquisadores tentaram se conectar a ele.
Lázaro à solta
O Lazarus da Coreia do Norte é conhecido como um dos APTs mais prolíficos e já está na mira das autoridades internacionais, tendo sido sancionado em 2019 pelo governo dos EUA.
O Lazarus é conhecido por ter como alvo acadêmicos, jornalistas e profissionais de vários setores - particularmente o indústria de defesa–para reunir informações e apoio financeiro para o regime de Kim Jong-un. Muitas vezes, ele usa estratagemas de representação semelhantes ao observado na Operação In(ter)cepção para tentar fazer com que as vítimas mordam a isca do malware.
Uma campanha anterior identificada em janeiro também engenheiros direcionados à procura de emprego lançando falsas oportunidades de emprego para eles em uma campanha de spear phishing. Os ataques usaram o Windows Update como uma técnica de vida fora da terra e o GitHub como um servidor C2.
Enquanto isso, um campanha semelhante descoberta no ano passado viu Lazarus se passando por contratantes de defesa Boeing e General Motors e alegando procurar candidatos a emprego apenas para espalhar documentos maliciosos.
Mudando isso
No entanto, mais recentemente, Lazarus diversificou suas táticas, com os federais revelando que Lazarus também foi responsável por vários roubos de criptomoedas com o objetivo de encher o regime de Jong-un com dinheiro.
Relacionado a esta atividade, o governo dos EUA sanções impostas contra o serviço de mixagem de criptomoedas Tornado Cash por ajudar a Lazarus a lavar dinheiro de suas atividades cibercriminosas, que eles acreditam que em parte estão sendo para financiar o programa de mísseis da Coreia do Norte.
O Lazarus até mergulhou no ransomware em meio ao frenesi da atividade de extorsão cibernética. Em maio, pesquisadores da empresa de segurança cibernética Trellix amarrou o ransomware VHD recentemente surgido ao APT norte-coreano.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://threatpost.com/apt-lazarus-macos-malware/180426/
- :tem
- :é
- :não
- $UP
- 12
- 2019
- 2022
- 50
- 700
- a
- acadêmicos
- Segundo
- atividades
- atividade
- contra
- Destinado
- já
- tb
- Entre
- an
- e
- app
- Apple
- APT
- SOMOS
- AS
- At
- Ataques
- tentativa
- Ago
- Autoridades
- em caminho duplo
- apoio
- isca
- sido
- ser
- Acreditar
- Boeing
- ambos
- Brazil
- Pacote
- by
- Campanha
- candidatos
- dinheiro
- certificado
- reivindicando
- coinbase
- companheiro
- Contato
- conecta
- empreiteiros
- ao controle
- mira
- cripto
- criptomoedas
- Misturador de criptomoedas
- CIBERCRIMINAL
- Espionagem cibernética
- ciberextorsão
- Cíber segurança
- Defesa
- descrição
- Developer
- DID
- diferente
- descoberto
- diversificado
- documento
- INSTITUCIONAIS
- desistiu
- Caindo
- Drops
- ou
- emergiu
- emprego
- Engenharia
- Engenheiros
- Mesmo
- falsificação
- Fevereiro
- Feds
- Arquivos
- financeiro
- Empresa
- Escolha
- frenesi
- da
- fundo
- reunir
- Geral
- General Motors
- ter
- GitHub
- Governo
- ter
- ajuda
- HTTPS
- identificado
- in
- incluído
- infosec
- Infraestrutura
- Intel
- Inteligência
- Internacionais
- Emitido
- IT
- ESTÁ
- se
- janeiro
- Trabalho
- Jornalistas
- Julho
- Kim
- Kim Jong-un
- conhecido
- Da Coréia
- Coreana
- Sobrenome
- Lázaro
- mac
- MacOS
- malwares
- Malwarebytes
- Gerente
- max-width
- Posso..
- significa
- conjugar
- mais
- a maioria
- Motores
- Nomeado
- Novo
- Newsletter
- Norte
- número
- observado
- of
- frequentemente
- Velho
- on
- ONE
- só
- operação
- oportunidades
- or
- Visão geral
- parte
- platão
- Inteligência de Dados Platão
- PlatãoData
- publicado
- anterior
- Produto
- Agenda
- prolífico
- ransomware
- recentemente
- recentemente
- regime
- pesquisa
- investigador
- pesquisadores
- Responder
- responsável
- Revelado
- revelando
- s
- Dito
- mesmo
- Sancionado
- serra
- segurança
- Buscar
- servidor
- serviço
- assinado
- Silício
- semelhante
- algo
- propagação
- sistemas
- tática
- Tire
- alvejando
- tem como alvo
- técnica
- do que
- que
- A
- Eles
- deles
- isto
- três
- timestamp
- para
- tornado
- Tornado Cash
- trader
- experimentado
- tentar
- Terça-feira
- os tweets
- nos
- Governo dos EUA
- descoberto
- Atualizar
- carregado
- usava
- usuários
- usos
- utilização
- Variante
- vário
- versão
- vítimas
- foi
- BEM
- quando
- qual
- Windows
- de
- escreveu
- zefirnet
