Специалисты Sentinel One обнаружили, что северокорейская хакерская группа Lazarus использует фальшивые вакансии Crypto[.]com, чтобы с их помощью взламывать разработчиков и цифровых художников в криптовалютном сообществе. Предполагается, что в долгосрочной перспективе злоумышленники нацелены на кражу цифровых активов и криптовалюты своих жертв.
Напомню, что Crypto.com — одна из ведущих мировых платформ для обмена криптовалютой. Компания привлекла к себе всеобщее внимание в 2021 году, когда приобрела спортивный комплекс Los Angeles Staples Center и переименовала его в Crypto.com Arena, после этого запустив серию телевизионных рекламных роликов.
Аналитики Sentinel One пишут, что кампания, целью которой являются люди, работающие в криптовалютной индустрии, проводится хакерами еще с 2020 года. Недавно было замечено, что злоумышленники эксплуатируют в своих атаках бренд другой известной криптовалютной биржи, Coinbase, а теперь они переключились на Crypto.com и атакуют пользователей macOS.
Как правило, Lazarus обращается к своим целям через LinkedIn, отправляя им личные сообщения, в которых сообщается об интересной и высокооплачиваемой вакансии, которую якобы предлагает им Crypto.com.
Как и в предыдущих кампаниях, нацеленных на macOS, хакеры отправляют жертвам двоичный файл, замаскированный под PDF, который содержит 26-страничный PDF-файл с именем Crypto.com_Job_Opportunities_2022_confidential.pdf и информацию о вакансиях на Crypto.com.
В фоновом режиме этот бинарник Mach-O создает папку (WifiPreference) в каталоге Library и развертывает файлы второго и третьего этапов. Второй этап — файл WifiAnalyticsServ.app, который закрепляется в системе (wifanalyticsagent) и в конечном итоге подключается к управляющему серверу по адресу market.contradecapital[.]com, откуда и получает финальный пейлоад WiFiCloudWidget.
Так как бинарники атакующих подписаны, они могут обойти проверки Apple Gatekeeper и выполняться как доверенное ПО.
К сожалению, исследователи не смогли изучить финальный пейлоад группировки, так как C&C-сервер хакеров уже был отключен на момент проведения расследования. Тем не менее, они отмечают, что некоторые признаки свидетельствуют о недолговечности этой операции, что весьма типично для фишинговых кампаний Lazarus.
«Хакеры не предприняли никаких усилий для шифрования или обфускации двоичных файлов, что, вероятно, указывает на краткосрочность этой кампании или на отсутствие опасений быть обнаруженными», — говорят аналитики.