Lazarus distribuisce malware con offerte di lavoro

Lazarus distribuisce malware con offerte di lavoro

Il gruppo nordcoreano Lazarus continua a colpire gli esperti in criptovalute con falsi annunci, inviati tramite LinkedIn, che nascondono malware.
Lazarus distribuisce malware con offerte di lavoro
Il gruppo nordcoreano Lazarus continua a colpire gli esperti in criptovalute con falsi annunci, inviati tramite LinkedIn, che nascondono malware.

La tattica era stata già sfruttata dal gruppo Lazarus in due occasioni per colpire gli esperti del settore con falsi annunci di lavoro per Coinbase. La nuova variante della stessa campagna, scoperta da SentinelOne e denominata Operation In(ter)ception, prende ora di mira l’exchange concorrente Crypto.com per distribuire malware.

Lazarus offre lavoro per rubare le criptovalute

I cybercriminali nordcoreani usano una procedura ben collaudata. Il primo passo è individuare su LinkedIn esperti del settore che vengono contattati mediante messaggi diretti. L’offerta di lavoro (fasulla) di Crypto.com viene comunicata con un file PDF. In realtà si tratta del dropper del malware (un binario Mach-O) che crea la directory WifiPreference nella directory Library dell’utente.

Al suo interno viene successivamente copiato il file WifiAnalyticsServ.app che scarica dal server C2 (command and control) il payload finale, ovvero il file WiFiCloudWidget. Tutti i file sono universali, quindi eseguibili sui Mac con processori Intel e Apple. Stranamente non è stata utilizzata la crittografia o una tecnica di offuscamento. Tuttavia la firma digitale consente di aggirare la protezione Gatekeeper.

Il malware viene rilevato e bloccato dalla maggioranza degli antivirus sul mercato tra cui McAfee Total Protection. Chiaramente gli utenti di LinkedIn devono prestare molta attenzione ai messaggi ricevuti. Uno degli obiettivi del gruppo Lazarus è accedere ai wallet e rubare le criptovalute. Il bottino più recente ammonta a circa 600 milioni di dollari.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Presta attenzione al fatto che i CFD sono strumenti complessi con un alto rischio di perdere denaro rapidamente a causa della leva finanziaria. L’81% degli investitori perde denaro quando fa trading di CFD con questo broker. Considera se hai compreso il funzionamento dei CFD, e se puoi prenderti l’alto rischio di perdere i tuoi soldi. Le performance passate non sono indicazione di risultati futuri. La storia degli andamenti di trading è inferiore a 5 anni completi e può non essere sufficiente come base per decisioni di investimento.

Fonte: SentinelOne
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
28 set 2022
Link copiato negli appunti