Se ha observado que Lazarus Group, respaldado por Corea del Norte, se dirige a los solicitantes de empleo con malware capaz de ejecutarse en Apple Mac con conjuntos de chips Intel y M1.
La firma eslovaca de ciberseguridad ESET lo vinculó a una campaña denominada «Operación In(ter)ception» que se reveló por primera vez en junio de 2020 e implicó el uso de tácticas de ingeniería social para engañar a los empleados que trabajan en los sectores aeroespacial y militar para que abran documentos de ofertas de trabajo señuelo.
El último ataque no es diferente en el sentido de que se utilizó una descripción de trabajo para la plataforma de intercambio de criptomonedas Coinbase como plataforma de lanzamiento para lanzar un ejecutable Mach-O firmado. El análisis de ESET proviene de una muestra del binario que se subió a VirusTotal desde Brasil el 11 de agosto de 2022.
«El malware se compila tanto para Intel como para Apple Silicon», dijo la empresa. dijo en una serie de tuits. ‘Cae tres archivos: un documento PDF señuelo’Coinbase_online_carreras_2022_07.pdf‘, un paquete ‘FinderFontsUpdater.aplicación,’ y un descargador ‘safarifontagente.'»
El archivo señuelo, aunque tiene la extensión .PDF, es en realidad un ejecutable Mach-O que funciona como cuentagotas para iniciar FinderFontsUpdater, que, a su vez, ejecuta safarifontsagent, un programa de descarga diseñado para recuperar las cargas útiles de la próxima etapa desde un servidor remoto.
ESET declaró que el señuelo se firmó el 21 de julio con un certificado emitido en febrero de 2022 a un desarrollador llamado Shankey Nohria. Desde entonces, Apple se movió para revocar el certificado el 12 de agosto.
Vale la pena señalar que el malware es multiplataforma, como un equivalente de Windows del mismo documento PDF se usó para colocar un archivo .EXE llamado «Coinbase_online_careers_2022_07.exe» a principios de este mes, como lo reveló el investigador de Malwarebytes Hossein Jazi.
El Grupo Lazarus ha surgido como un especie de experto cuando se trata de hacerse pasar por representantes de recursos humanos en plataformas de redes sociales como LinkedIn para dirigirse a empresas que son de interés estratégico.
El mes pasado, salió a la luz que el hackeo de $620 millones de Axie Infinity atribuido al colectivo fue el resultado de que uno de sus ex empleados fue engañado por una oferta de trabajo fraudulenta en LinkedIn.