• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости КНДР атакуют людей, ищущих работу в криптоиндустрии

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи из ИБ-компании SentinelOne обнаружили новую кампанию северокорейской группировки Lazarus, направленной на пользователей macOS. Для проведения атак используются документы-приманки, рекламирующие вакансии компании по обмену криптовалюты Crypto.com.

Серия атак является частью кампании Operation In(ter)ception с фейковыми вакансиями Coinbase, которая, в свою очередь, является частью более широкой кампании под названием Operation Dream Job .

Точный вектор распространения вредоносного ПО остается неизвестным, но эксперты предполагают, что хакеры заманивают жертв посредством прямых сообщений в LinkedIn.

Цепочка атак начинается с развертывания двоичного файла Mach-O , дроппера, который запускает поддельный PDF-документ, содержащий списки вакансий на Crypto.com. В фоновом режиме он удаляет сохранение сеанса терминала («com.apple.Terminal.savedState»).

Загрузчик, похожий на библиотеку «safarifontagent», используемую в кампании с Coinbase, работает как полезная нагрузка второго этапа под названием «WifiAnalyticsServ.app». Этот файл является копией версии «FinderFontsUpdater.app».

Основная цель второго этапа — извлечь и выполнить двоичный файл третьего этапа «wifianalyticsagent», который действует как загрузчик с C&C-сервера. Конечная полезная нагрузка неизвестна из-за того, что C&C-сервер в настоящее время отключен.

Lazarus Group имеет большой опыт проведения кибератак на криптовалютные платформы в качестве механизма уклонения от санкций, позволяющего злоумышленникам получать несанкционированный доступ к корпоративным сетям и красть цифровые средства.

По словам экспертов, киберпреступники не предприняли никаких усилий для шифрования или запутывания двоичных файлов, что указывает на краткосрочный характер кампании или отсутствие опасений быть обнаруженными.
 
Сверху