Le tristement célèbre groupe Lazarus a poursuivi sa tendance à tirer parti des opportunités d’emploi non sollicitées pour déployer des logiciels malveillants ciblant le système d’exploitation macOS d’Apple.
Dans la dernière variante de la campagne observée par la société de cybersécurité SentinelOne la semaine dernière, un leurre documente des positions publicitaires pour la société d’échange de crypto-monnaie basée à Singapour Crypto[.]com ont été utilisés pour monter les attaques.
La dernière divulgation s’appuie sur les conclusions précédentes de la société slovaque de cybersécurité ESET en août, qui s’est penchée sur une fausse offre d’emploi similaire pour la plate-forme d’échange de crypto-monnaie Coinbase.
Ces deux fausses offres d’emploi ne sont que les dernières d’une série d’attaques baptisée Operation In(ter)ception, qui, à son tour, fait partie d’une campagne plus large suivie sous le nom d’Operation Dream Job.
Bien que le vecteur de distribution exact du logiciel malveillant reste inconnu, on soupçonne que des cibles potentielles sont identifiées via des messages directs sur le site de réseautage professionnel LinkedIn.
Les intrusions commencent par le déploiement d’un binaire Mach-O, un compte-gouttes qui lance le document PDF leurre contenant les offres d’emploi sur Crypto.com, tandis qu’en arrière-plan, il supprime le état enregistré (« com.apple.Terminal.savedState »).
Le téléchargeur, également similaire à la bibliothèque safarifontagent utilisée dans la chaîne d’attaque Coinbase, agit ensuite comme un conduit pour un ensemble de deuxième étape simple nommé « WifiAnalyticsServ.app », qui est une version imitée de « FinderFontsUpdater.app ».
« Le but principal de la deuxième étape est d’extraire et d’exécuter le binaire de la troisième étape, wifianalyticsagent », ont déclaré les chercheurs de SentinelOne, Dinesh Devadoss et Phil Stokes. a dit. « Cela fonctionne comme un téléchargeur à partir d’un [command-and-control] serveur. »
La charge utile finale livrée à la machine compromise est inconnue en raison du fait que le serveur C2 responsable de l’hébergement du logiciel malveillant est actuellement hors ligne.
Ces attaques ne sont pas isolées, car le groupe Lazarus a l’habitude de mener des cyber-attaques sur des plateformes de blockchain et de crypto-monnaie en tant que mécanisme d’évasion des sanctions, permettant aux adversaires d’obtenir un accès non autorisé aux réseaux d’entreprise et de voler des fonds numériques.
« Les acteurs de la menace n’ont fait aucun effort pour chiffrer ou obscurcir aucun des fichiers binaires, indiquant peut-être des campagnes à court terme et/ou peu de crainte d’être détectés par leurs cibles », ont déclaré les chercheurs.