Il famigerato Lazarus Group ha continuato il suo modello di sfruttare opportunitΓ di lavoro non richieste per distribuire malware mirato al sistema operativo macOS di Apple.
Nell’ultima variante della campagna osservata dalla societΓ di sicurezza informatica SentinelOne la scorsa settimana, decoy documenta le posizioni pubblicitarie per la societΓ di scambio di criptovaluta con sede a Singapore Crypto [.] com sono stati utilizzati per montare gli attacchi.
L’ultima divulgazione si basa su precedenti risultati della societΓ di sicurezza informatica slovacca ESET ad agosto, cheΒ ha approfonditoΒ un annuncio di lavoro fasullo simile per la piattaforma di scambio di criptovaluta Coinbase.
Entrambi questi falsi annunci di lavoro sono solo l’ultimo di una serie di attacchi soprannominatiΒ Operation In(ter)ception, che, a sua volta, Γ¨ un costituente di una campagna piΓΉ ampia tracciata sotto il nomeΒ di Operation Dream Job.
Sebbene l’esatto vettore di distribuzione del malware rimanga sconosciuto, si sospetta che i potenziali bersagli siano individuati tramite messaggi diretti sul sito di rete aziendale LinkedIn.
Le intrusioni iniziano con la distribuzione di un binario Mach-O, unΒ contagocceΒ che avvia il documento PDF esca contenente gli annunci di lavoro in Crypto.com, mentre, in background, elimina loΒ stato salvatoΒ del terminale (“com.apple.Terminal.savedState”).
Il downloader, anch’esso simile alla libreria safarifontagent impiegata nella catena di attacco Coinbase, funge successivamente da condotto per un bundle di secondo stadio chiamato “WifiAnalyticsServ.app”, che Γ¨ una versione copiata di “FinderFontsUpdater.app”.
“Lo scopo principale del secondo stadio Γ¨ quello di estrarre ed eseguire il binario del terzo stadio, wifianalyticsagent”, hannoΒ dettoΒ i ricercatori di SentinelOne Dinesh Devadoss e Phil Stokes. “Questo funziona come un downloader da un server [comando e controllo].”
Il payload finale consegnato alla macchina compromessa Γ¨ sconosciuto a causa del fatto che il server C2 responsabile dell’hosting del malware Γ¨ attualmente offline.
Questi attacchi non sono isolati, perchΓ© il Gruppo Lazarus ha unaΒ storiaΒ di attacchiΒ informaticiΒ alle piattaforme blockchain e criptovaluta come meccanismo di elusione delle sanzioni, consentendo agli avversari di ottenere l’accesso non autorizzato alle reti aziendali e rubare fondi digitali.
“Gli attori delle minacce non hanno fatto alcuno sforzo per crittografare o offuscare nessuno dei binari, indicando probabilmente campagne a breve termine e / o poca paura di essere rilevati dai loro obiettivi”, hanno detto i ricercatori.