Il famigerato Lazarus Group ha continuato il suo modello di sfruttare opportunità di lavoro non richieste per distribuire malware mirato al sistema operativo macOS di Apple.

Nell’ultima variante della campagna osservata dalla società di sicurezza informatica SentinelOne la scorsa settimana, decoy documenta le posizioni pubblicitarie per la società di scambio di criptovaluta con sede a Singapore Crypto [.] com sono stati utilizzati per montare gli attacchi.

L’ultima divulgazione si basa su precedenti risultati della società di sicurezza informatica slovacca ESET ad agosto, che ha approfondito un annuncio di lavoro fasullo simile per la piattaforma di scambio di criptovaluta Coinbase.

Entrambi questi falsi annunci di lavoro sono solo l’ultimo di una serie di attacchi soprannominati Operation In(ter)ception, che, a sua volta, è un costituente di una campagna più ampia tracciata sotto il nome di Operation Dream Job.

Sebbene l’esatto vettore di distribuzione del malware rimanga sconosciuto, si sospetta che i potenziali bersagli siano individuati tramite messaggi diretti sul sito di rete aziendale LinkedIn.

Le intrusioni iniziano con la distribuzione di un binario Mach-O, un contagocce che avvia il documento PDF esca contenente gli annunci di lavoro in Crypto.com, mentre, in background, elimina lo stato salvato del terminale (“com.apple.Terminal.savedState”).

Il downloader, anch’esso simile alla libreria safarifontagent impiegata nella catena di attacco Coinbase, funge successivamente da condotto per un bundle di secondo stadio chiamato “WifiAnalyticsServ.app”, che è una versione copiata di “FinderFontsUpdater.app”.

“Lo scopo principale del secondo stadio è quello di estrarre ed eseguire il binario del terzo stadio, wifianalyticsagent”, hanno detto i ricercatori di SentinelOne Dinesh Devadoss e Phil Stokes. “Questo funziona come un downloader da un server [comando e controllo].”

Il payload finale consegnato alla macchina compromessa è sconosciuto a causa del fatto che il server C2 responsabile dell’hosting del malware è attualmente offline.

Questi attacchi non sono isolati, perché il Gruppo Lazarus ha una storia di attacchi informatici alle piattaforme blockchain e criptovaluta come meccanismo di elusione delle sanzioni, consentendo agli avversari di ottenere l’accesso non autorizzato alle reti aziendali e rubare fondi digitali.

“Gli attori delle minacce non hanno fatto alcuno sforzo per crittografare o offuscare nessuno dei binari, indicando probabilmente campagne a breve termine e / o poca paura di essere rilevati dai loro obiettivi”, hanno detto i ricercatori.