Lazarus: malware per macOS con assunzioni Coinbase

All’inizio del mese è stata scoperta una nuova tattica usata dal gruppo Lazarus per colpire gli esperti di criptovalute attraverso false offerte di lavoro per Coinbase. I ricercatori di ESET hanno identificato ora la corrispondente versione per macOS con alcune modifiche. Per non correre rischi è sempre consigliata l’installazione di una soluzione di sicurezza.

Malware per macOS nascosto nelle offerte di lavoro

Quella attuata dai cybercriminali nordcoreani è la classica campagna di ingegneria sociale. Sfruttando la notorietà di Coinbase hanno iniziato ad inviare false offerte di lavoro a persone che possiedono le competenze adatte (spesso individuate dai profili LinkedIn). Il file PDF ricevuto via email è in realtà l’eseguibile del malware. Quando la vittima esegue il file, sul computer viene scaricata una DLL che permette il controllo remoto e quindi l’invio di comandi al dispositivo.

Gli esperti di ESET hanno scoperto la versione per macOS del malware, compatibile con le architetture x86 e ARM, quindi installabile sui Mac con processori Intel e Apple. Il malware è stato firmato il 21 luglio con un certificato emesso a febbraio. Fortunatamente il certificato è stato revocato il 12 agosto e il file non è stato autenticato da Apple.

#ESETresearch #BREAKING A signed Mac executable disguised as a job description for Coinbase was uploaded to VirusTotal from Brazil 🇧🇷. This is an instance of Operation In(ter)ception by #Lazarus for Mac. @pkalnai @dbreitenbacher 1/7 pic.twitter.com/dXg89el5VT

— ESET Research (@ESETresearch) August 16, 2022

Un simile attacco era stato scoperto nel mese di maggio. I cybercriminali di Lazarus hanno cambiato il file PDF e il server C&C (command and control). Per rilevare e bloccare questo tipo di malware è consigliata l’installazione di una soluzione di sicurezza.