Le groupe Lazarus, soutenu par la Corée du Nord, a été observé en train de cibler des demandeurs d’emploi avec des logiciels malveillants capables de s’exécuter sur des Mac Apple équipés de chipsets Intel et M1.
La société slovaque de cybersécurité ESET l’a lié à une campagne baptisée “Operation In(ter)ception” qui a été divulguée pour la première fois en juin 2020 et impliquait l’utilisation de tactiques d’ingénierie sociale pour inciter les employés travaillant dans les secteurs aérospatial et militaire à ouvrir des documents d’offre d’emploi leurres.
La dernière attaque n’est pas différente en ce sens qu’une description de travail pour la plate-forme d’échange de crypto-monnaie Coinbase a été utilisée comme rampe de lancement pour déposer un exécutable Mach-O signé. L’analyse d’ESET provient d’un échantillon du binaire qui a été téléchargé sur VirusTotal depuis le Brésil le 11 août 2022.
“Les logiciels malveillants sont compilés à la fois pour Intel et Apple Silicon”, a déclaré la société. a dit dans une série de tweets. « Il dépose trois fichiers : un document PDF leurre »Coinbase_online_careers_2022_07.pdf‘, un paquet ‘FinderFontsUpdater.app,’ et un téléchargeur ‘safarifontagent.'”
Le fichier leurre, tout en arborant l’extension .PDF, est en réalité un exécutable Mach-O qui fonctionne comme un compte-gouttes pour lancer FinderFontsUpdater, qui, à son tour, exécute safarifontsagent, un téléchargeur conçu pour récupérer les charges utiles de la prochaine étape à partir d’un serveur distant.
ESET a déclaré que le leurre avait été signé le 21 juillet à l’aide d’un certificat délivré en février 2022 à un développeur nommé Shankey Nohria. Apple a depuis décidé de révoquer le certificat le 12 août.
Il convient de noter que le logiciel malveillant est multiplateforme, en tant qu’équivalent Windows du même document PDF a été utilisé pour déposer un fichier .EXE nommé “Coinbase_online_careers_2022_07.exe” plus tôt ce mois-ci, comme l’a révélé un chercheur de Malwarebytes Hossein Jazi.
Le groupe Lazarus a émergé un expert en quelque sorte lorsqu’il s’agit de se faire passer pour des représentants RH sur des plateformes de médias sociaux comme LinkedIn pour cibler des entreprises qui présentent un intérêt stratégique.
Le mois dernier, il est apparu que le piratage d’Axie Infinity de 620 millions de dollars attribué au collectif était le résultat d’un de ses anciens employés qui avait été dupé par une offre d’emploi frauduleuse sur LinkedIn.