Lazarus distribuisce malware con offerte di lavoro

Lazarus distribuisce malware con offerte di lavoro

Il gruppo nordcoreano Lazarus continua a colpire gli esperti in criptovalute con falsi annunci, inviati tramite LinkedIn, che nascondono malware.
Il gruppo nordcoreano Lazarus continua a colpire gli esperti in criptovalute con falsi annunci, inviati tramite LinkedIn, che nascondono malware.

La tattica era stata già sfruttata dal gruppo Lazarus in due occasioni per colpire gli esperti del settore con falsi annunci di lavoro per Coinbase. La nuova variante della stessa campagna, scoperta da SentinelOne e denominata Operation In(ter)ception, prende ora di mira l’exchange concorrente Crypto.com per distribuire malware.

Lazarus offre lavoro per rubare le criptovalute

I cybercriminali nordcoreani usano una procedura ben collaudata. Il primo passo è individuare su LinkedIn esperti del settore che vengono contattati mediante messaggi diretti. L’offerta di lavoro (fasulla) di Crypto.com viene comunicata con un file PDF. In realtà si tratta del dropper del malware (un binario Mach-O) che crea la directory WifiPreference nella directory Library dell’utente.

Al suo interno viene successivamente copiato il file WifiAnalyticsServ.app che scarica dal server C2 (command and control) il payload finale, ovvero il file WiFiCloudWidget. Tutti i file sono universali, quindi eseguibili sui Mac con processori Intel e Apple. Stranamente non è stata utilizzata la crittografia o una tecnica di offuscamento. Tuttavia la firma digitale consente di aggirare la protezione Gatekeeper.

Il malware viene rilevato e bloccato dalla maggioranza degli antivirus sul mercato tra cui McAfee Total Protection. Chiaramente gli utenti di LinkedIn devono prestare molta attenzione ai messaggi ricevuti. Uno degli obiettivi del gruppo Lazarus è accedere ai wallet e rubare le criptovalute. Il bottino più recente ammonta a circa 600 milioni di dollari.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: SentinelOne
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 28 set 2022
Link copiato negli appunti