Uzmanlar, tehlikeli Lazarus grubunun artık Mac cihazlarda Web3 geliştiricilerini hedef aldığı konusunda uyardı.
Kuzey Kore devlet destekli tehdit aktörü kısa süre önce bilgi hırsızları ve kötü amaçlı yazılımlardan başka bir şey olmadığı ortaya çıkan sahte kazançlı iş teklifleriyle blockchain geliştiricilerinin peşine düştü. (yeni sekmede açılır).
Bu saldırılar başlangıçta Windows kullanıcılarıyla sınırlıyken, ESET’teki siber güvenlik araştırmacıları artık bunların Apple bölgesine de yayıldığını keşfetti.
Intel ve Apple çipleri saldırıya uğradı
Kampanya her iki platform için de hemen hemen aynı. Grup, dünyanın en büyük ve en popüler kripto para borsalarından biri olan Coinbase’i taklit edecek ve bir iş teklifi ile LinkedIn ve diğer platformlar aracılığıyla blockchain geliştiricilerine ulaşacaktı. Biraz ileri geri ve birkaç tur “röportaj”dan sonra saldırgan, kurbana iş pozisyonunun ayrıntılarını içeren bir .pdf dosyası gibi görünen bir dosya sunar.
Dosyanın adı Coinbase_online_careers_2022_07’dir ve bir .pdf (simge ve tümü) gibi görünse de, aslında Lazarus’un virüslü uç noktaya komut göndermesine izin veren kötü amaçlı bir DLL’dir. Dosya, hem Intel hem de Apple işlemcili Mac’ler için derlendi, araştırmacılar daha da keşfettiler ve grubun hem daha eski hem de daha yeni cihaz modellerinin peşinde olduğunu öne sürdüler.
Saldırıyı Twitter üzerinden detaylandıran araştırmacılar, kötü amaçlı yazılımın üç dosya bıraktığını söyledi: FinderFontsUpdater.app paketi, safarifontagent indiricisi ve “Coinbase_online_careers_2022_07.pdf” adlı bir tuzak PDF.
Lazarus Group, sahte iş teklifi saldırılarına yabancı değil ve geçmişte bu saldırıları başarıyla gerçekleştirdi. Aslında, tarihin en büyük kripto para soygunlarından biri olan Ronin köprüsüne yapılan 600+ milyon dolarlık ağır saldırı tam olarak bu şekilde yapıldı.
Bir yazılım mühendisine ulaşıp onu sahte .pdf dosyasını indirmeye ikna ettikten sonra, Lazarus’tan gelen saldırganlar sisteme girmenin yolunu buldu, gerekli kimlik bilgilerini aldı ve milyonlarca kripto para tokenini sifonladı.
Ancak bu durumda, kötü amaçlı yazılım 21 Temmuz’da Shankey Nohria adlı bir geliştiriciye verilen bir sertifika ile imzalandı. Takım tanımlayıcısı 264HFWQH63 idi. Sertifika, kontrol edildiğinde 12 Ağustos’ta iptal edilmemişken, BleeBilgisayar Raporlara göre, araştırmacılar Apple’ın onu kötü amaçlı bileşenler için taramadığını buldular.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)