Aanvallers maken gebruik van malafide vacatures voor cryptobeurs Crypto.com om macOS-gebruikers met malware te infecteren, zo stelt securitybedrijf SentinelOne. Eerder ontdekte antivirusbedrijf ESET een soortgelijke campagne, alleen dan met malafide vacatures voor cryptobeurs Binance.
Volgens SentinelOne is de Lazarus-groep verantwoordelijk voor de malware. Deze groep zou vanuit Noord-Korea opereren en wordt verantwoordelijk gehouden voor inbraken bij meerdere cryptobeurzen en cryptobedrijven, waarbij vele miljoenen dollars werden buitgemaakt. Potentiele doelwitten worden zeer waarschijnlijk via LinkedIn benaderd en krijgen vervolgens het malafide bestand toegestuurd.
De gebruikte bestanden zijn niet versleuteld of geobfusceerd om detectie of analyse te bemoeilijken. Dat suggereert volgens SentinelOne dat het mogelijk om een kortlopende campagne gaat of de aanvallers niet bang zijn dat hun doelwitten de aanval detecteren. Daarnaast zijn de bestanden "ad hoc" gesigneerd, waardoor ze door de controle van Apples Gatekeeper komen, ook al is het bestand niet gelinkt aan een ontwikkelaar voorzien van een door Apple uitgegeven ontwikkelaarscertificaat.
Eenmaal geopend krijgt het slachtoffer als afleiding een pdf-document met een vacature te zien. In de achtergrond wordt echter de malware geïnstalleerd. Deze malware kan aanvullende malware installeren en wacht op verdere instructies van de aanvallers. Eerder dit jaar maakte de Lazarus-groep gebruik van zogenaamde vacatures van Lockheed Martin. Deze tactiek blijkt succesvol. In 2020 werd bekend dat een niet nader genoemd cryptobedrijf het slachtoffer van een aanval was geworden nadat een systeembeheerder een malafide vacature van de Lazarus-groep had geopend.
Deze posting is gelocked. Reageren is niet meer mogelijk.