El infame Grupo Lazarus ha continuado con su patrón de aprovechar oportunidades laborales no solicitadas para implementar malware dirigido al sistema operativo macOS de Apple.
En la última variante de la campaña observada por la empresa de seguridad cibernética SentinelOne la semana pasada, los documentos señuelo anuncian posiciones para la firma de intercambio de criptomonedas Crypto con sede en Singapur.[.]com se han utilizado para montar los ataques.
La última divulgación se basa en hallazgos anteriores de la empresa de ciberseguridad eslovaca ESET en agosto, que profundizó en una publicación de trabajo falsa similar para la plataforma de intercambio de criptomonedas Coinbase.
Estos dos anuncios de trabajo falsos son solo los últimos de una serie de ataques denominados Operation In(ter)ception, que, a su vez, es un componente de una campaña más amplia rastreada bajo el nombre Operation Dream Job.
Aunque se desconoce el vector de distribución exacto del malware, se sospecha que los objetivos potenciales se señalan a través de mensajes directos en el sitio de redes empresariales LinkedIn.
Las intrusiones comienzan con el despliegue de un binario Mach-O, un cuentagotas que abre el documento PDF señuelo que contiene las ofertas de trabajo en Crypto.com, mientras que, en segundo plano, elimina la Terminal estado guardado («com.apple.Terminal.savedState»).
El descargador, también similar a la biblioteca safarifontagent empleada en la cadena de ataque de Coinbase, actúa posteriormente como un conducto para un paquete básico de segunda etapa llamado «WifiAnalyticsServ.app», que es una versión copiada de «FinderFontsUpdater.app».
«El propósito principal de la segunda etapa es extraer y ejecutar el agente analítico wifi binario de la tercera etapa», dijeron los investigadores de SentinelOne, Dinesh Devadoss y Phil Stokes. dijo. «Esto funciona como un descargador de un [command-and-control] servidor.»
Se desconoce la carga útil final entregada a la máquina comprometida debido al hecho de que el servidor C2 responsable de alojar el malware está actualmente fuera de línea.
Estos ataques no son aislados, ya que Lazarus Group tiene un historial de ataques cibernéticos en plataformas de blockchain y criptomonedas como mecanismo para evadir sanciones, lo que permite a los adversarios obtener acceso no autorizado a las redes empresariales y robar fondos digitales.
«Los actores de la amenaza no han hecho ningún esfuerzo por cifrar u ofuscar ninguno de los binarios, lo que posiblemente indica campañas a corto plazo y/o poco temor a que sus objetivos los detecten», dijeron los investigadores.