Lazarus grubundan Kuzey Koreli bilgisayar korsanları, Coinbase’i taklit etmek ve finansal teknoloji sektöründeki çalışanları cezbetmek için macOS için imzalanmış kötü amaçlı bir yürütülebilir dosya kullanıyor.
Web3 şirketlerindeki çalışanları hedef almaları şaşırtıcı olmasa da, bu özel sosyal mühendislik kampanyasıyla ilgili ayrıntılar şu ana kadar Windows platformu için kötü amaçlı yazılımlarla sınırlıydı.
Lazarus bilgisayar korsanları geçmişte ve geçmişte sahte iş teklifleri kullandılar. son operasyon Coinbase’deki bir pozisyonla ilgili ayrıntıları içeren bir PDF dosyası kılığında kötü amaçlı yazılım kullandılar.
Sahte belgenin adı “Coinbase_online_careers_2022_07” idi. Başlatıldığında, yukarıdaki tuzak PDF’yi görüntüler ve sonuçta tehdit aktörünün virüslü cihaza komut göndermesine izin veren kötü amaçlı bir DLL yükler.
Siber güvenlik şirketi ESET’teki güvenlik araştırmacıları, bilgisayar korsanlarının ayrıca macOS sistemleri için hazır kötü amaçlı yazılımlara sahip olduğunu buldu. Kötü amaçlı dosyanın hem Intel hem de Apple silikonlu Mac’ler için derlendiğini, yani hem eski hem de yeni modellerin kullanıcılarının hedef alındığını söylediler.
İçinde iplik Twitter’da kötü amaçlı yazılımın üç dosya bıraktığını belirtiyorlar:
- FinderFontsUpdater.app paketi
- indirici safarifontagent
- “Coinbase_online_careers_2022_07” PDF adlı bir tuzak PDF (Windows kötü amaçlı yazılımıyla aynı)
MacOS kullanıcılarını hedefleyen ve Lazarus’a atfedilen benzer bir kampanya geçen yıl belirlendi. Tehdit aktörü aynı sahte iş teklifi sosyal mühendislik taktiğine güvendi, ancak farklı bir PDF kullandı.
ESET, en son macOS kötü amaçlı yazılımını aşağıdakilere bağladı: Operasyonda(ter)sepsiyonbenzer şekilde yüksek profilli havacılık ve askeri organizasyonları hedef alan bir Lazarus kampanyası.
MacOS kötü amaçlı yazılımına bakan araştırmacılar, 21 Temmuz’da (zaman damgası değerine göre) Shankey Nohria adını ve 264HFWQH63 takım tanımlayıcısını kullanan bir geliştiriciye Şubat ayında verilen bir sertifikayla imzalandığını fark ettiler.
12 Ağustos’ta, sertifika Apple tarafından iptal edilmemişti. Ancak, kötü amaçlı uygulama noter tasdikli değildi – Apple’ın yazılımı kötü amaçlı bileşenlere karşı kontrol etmek için kullandığı otomatik bir süreç.
ESET araştırmacıları, Lazarus hacker grubuna atfedilen önceki macOS kötü amaçlı yazılımıyla karşılaştırıldığında, indirici bileşeninin analiz sırasında artık yanıt vermeyen farklı bir komuta ve kontrol (C2) sunucusuna bağlandığını gözlemledi.
Kuzey Koreli hacker grupları, uzun zamandır kripto para birimi hackleriyle ve ilgilenilen hedeflere bulaşmayı amaçlayan kimlik avı kampanyalarında sahte iş teklifleri kullanmakla bağlantılı.