Criptovalute

Lazarus distribuisce malware con offerte di lavoro

This content has been archived. It may no longer be relevant

#criptovalute

La tattica era stata gia sfruttata dal gruppo Lazarus in 2 occasioni per colpire i professionisti del comparto con falsi annunci di lavoro per Coinbase. La nuova variante della stessa campagna, scoperta da SentinelOne e denominata Operation In(ter)ception, prende ora di mira l’exchange concorrente Crypto.com per distribuire malware.

Lazarus offre lavoro per rubare le criptovalute

I cybercriminali nordcoreani usano una procedura ben collaudata. Il 1º passo e individuare su LinkedIn esperti del comparto che vengono contattati attraverso messaggi diretti. L’offerta di lavoro (fasulla) di Crypto.com viene comunicata con un file PDF. In realtà si tratta del dropper del malware (un binario Mach-O) che crea la directory WifiPreference nella directory Library dell’utente.

Al suo interno viene successivamente copiato il file WifiAnalyticsServ.app che scarica dal server C2 (command and control) il payload finale, ossia il file WiFiCloudWidget. Tutti i file sono universali, quindi eseguibili sui Mac con processori Intel e Apple. Stranamente non e stata utilizzata la crittografia o una tecnica di offuscamento. Tuttavia la firma digitale permette di aggirare la protezione Gatekeeper.

Il malware viene rilevato e bloccato dalla maggioranza degli antivirus sul mercato tra i quali McAfee Total Protection….


FIGN2917 => 2022-09-28 17:45:59
criptovalute

Show More