Ünlü Kuzey Koreli tehdit aktörü Lazarus Group, sahte iş teklifleriyle blockchain alanındaki yazılım geliştiricileri ve sanatçıları hedef alırken görüldü.
Siber güvenlik firması Sentinel One’dan araştırmacılar, grubun 2020’de başlatılan “Operation In(ter)ception”ın hala aktif olduğunu ve hala saf yazılım geliştiricileri ve sanatçılar aradığını buldu.
Önerme aynı: grup sahte hesaplar oluşturacak (yeni sekmede açılır) LinkedIn, Twitter ve genellikle geliştiriciler ve sanatçılar tarafından kullanılan diğer sosyal medyada ve onlara ulaşmaya başlayacak ve neredeyse gerçek olamayacak kadar iyi iş pozisyonları sunacak. Yemi alan kurbanlar, sürecin güvenilirliğini artırmak için genellikle birkaç sahte görüşmeden geçerler. Son olarak, birkaç turdan sonra, kurbana potansiyel pozisyon hakkında daha fazla ayrıntı içermesi gereken bir dosya gönderilecektir. Gerçekte, dosya kötü amaçlı bir yazılımdır. (yeni sekmede açılır) damlalık.
Bu özel durumda, Lazarus dünyanın en büyük ve en popüler kripto para borsalarından biri olan Crypto.com’u taklit ediyor.
Paylaşılan dosyanın başlığı “’Crypto.com_Job_Opportunities_2022_confidential.pdf”. Çalıştırıldığında kullanıcının Kitaplık dizininde bir “WifiPreference” klasörü oluşturan ve daha sonra ikinci ve üçüncü aşama dosyalarını bırakacağı bir macOS ikili dosyasıdır. İkinci aşama, bir kalıcılık aracısı “wifianalyticsagent” yükleyen ve son olarak “market.contradecapital’den alınan üçüncü aşama “WiFiCloudWidget”ına geçen “WifiAnalyticsServ.app”i dağıtır.[.]com” C2.
Sentinel One, sunucunun araştırma sırasında çevrimdışı olduğu göz önüne alındığında, analiz için kötü amaçlı yazılımın bir kopyasını alamadı.
Keşfettiği şey, saldırganların kampanyanın çok uzun sürmesini beklemediğiydi.
Sentinel One, “Tehdit aktörleri, muhtemelen kısa vadeli kampanyaları ve/veya hedefleri tarafından çok az tespit edilme korkusunu gösteren ikili dosyaları şifrelemek veya karartmak için hiçbir çaba göstermedi.” Dedi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)