Печально известная северокорейская киберугроза Lazarus Group была замечена в попытке заманить разработчиков блокчейна фальшивыми предложениями о работе, содержащими вредоносное ПО.
Исследователи кибербезопасности из Malwarebytes обнаружили новую кампанию, в которой Lazarus принимает личность (откроется в новой вкладке) Coinbase, одной из крупнейших и самых популярных криптовалютных бирж в мире.
Затем преступники обращаются к разработчикам блокчейна с предложением работы на роль «Инженерного менеджера по безопасности продуктов» и даже проводят несколько интервью, чтобы сделать всю кампанию более правдоподобной. Однако в какой-то момент злоумышленники поделятся файл, по-видимому, в формате PDF, с подробностями о предполагаемой должности. Единственное, что есть в этом файле с PDF, это значок, однако, поскольку это, по сути, исполняемый файл – Coinbase_online_careers_2022_07.exe.Помимо .exe, злоумышленник также развернет вредоносную DLL.
Поддельные предложения работы в изобилии
Затем эти файлы будут подключаться к GitHub, который выступает в качестве сервера управления и контроля (C2), который предоставляет дальнейшие инструкции о том, как лучше всего заразить конечную точку.
В атаке типа «ложное предложение работы» нет ничего нового. Фактически, крупнейшая кража криптовалюты за все время, тяжелая атака на мост Ронин стоимостью 600 миллионов долларов, произошла таким же образом. К одному из разработчиков Ронина через LinkedIn обратился кто-то, представившийся охотником за головами, ищущим качественных разработчиков.
Одно привело к другому, и в итоге жертва загрузила вооруженный PDF-файл, который в конечном итоге дал злоумышленникам ключи от королевства Ронина.
ФБР указало пальцем на Lazarus Group и за эту атаку. Независимо от того, окажется ли это правдой или нет, этот злоумышленник ни в коем случае не привыкать к поддельным предложениям о работе. Группа уже использовала General Dynamics и Lockheed Martin для той же цели.
Lazarus обычно атакует банки, криптовалютные биржи, торговые площадки NFT, а иногда и людей, известных тем, что держит тяжелый мешок криптовалют.
С помощью: Пищит Компьютер (откроется в новой вкладке)
