Kuzey Kore destekli Lazarus Group’un Intel ve M1 yonga setli Apple Mac’lerde çalıştırılabilen kötü amaçlı yazılımlarla iş arayanları hedef aldığı gözlemlendi.
Slovak siber güvenlik firması ESET, bunu ilk olarak Haziran 2020’de açıklanan ve havacılık ve askeri sektörlerde çalışan çalışanları sahte iş teklifi belgeleri açmaları için kandırmak için sosyal mühendislik taktiklerini kullanmayı içeren “Operation In(ter)ception” adlı bir kampanyayla ilişkilendirdi.
En son saldırı, Coinbase kripto para birimi değişim platformu için bir iş tanımının imzalı bir Mach-O yürütülebilir dosyasını bırakmak için bir başlatma paneli olarak kullanılmasından farklı değil. ESET’in analizi, 11 Ağustos 2022’de Brezilya’dan VirusTotal’a yüklenen bir ikili dosya örneğinden geliyor.
Şirket, “Kötü amaçlı yazılım hem Intel hem de Apple Silicon için derlendi” söz konusu bir dizi tweette. “Üç dosya bırakır: bir tuzak PDF belgesi ‘Coinbase_online_careers_2022_07.pdf‘, bir demet ‘FinderFontsUpdater.app,’ ve bir indirici ‘safarifontagent.'”
Tuzak dosya, .PDF uzantısını desteklerken, gerçekte, FinderFontsUpdater’ı başlatmak için bir damlalık işlevi gören bir Mach-O yürütülebilir dosyasıdır ve bu da, bir sonraki aşama yüklerini uzak bir sunucudan almak için tasarlanmış bir indirici olan safarifontsagent’ı çalıştırır.
ESET, cazibenin 21 Temmuz’da Shankey Nohria adlı bir geliştiriciye Şubat 2022’de verilen bir sertifika kullanılarak imzalandığını belirtti. Apple o zamandan beri 12 Ağustos’ta sertifikayı iptal etmek için harekete geçti.
Kötü amaçlı yazılımın Windows eşdeğeri olarak çapraz platform olduğunu belirtmekte fayda var. aynı PDF belgesi Malwarebytes araştırmacısı tarafından açıklandığı üzere, bu ayın başlarında “Coinbase_online_careers_2022_07.exe” adlı bir .EXE dosyasını bırakmak için kullanıldı. Hüseyin Jazi.
Lazarus Grubu ortaya çıktı çeşit uzmanı LinkedIn gibi sosyal medya platformlarında stratejik öneme sahip şirketleri hedeflemek için İK temsilcileri olarak poz vermek söz konusu olduğunda.
Geçen ay, kollektife atfedilen 620 milyon dolarlık Axie Infinity hackinin, eski çalışanlarından birinin LinkedIn’deki sahte bir iş teklifi tarafından kandırılmasının sonucu olduğu ortaya çıktı.