Вакансия Fake Crypto.com предлагает ориентироваться на разработчиков и художников для распространения вредоносного ПО

Вакансия Fake Crypto.com предлагает ориентироваться на разработчиков и художников для распространения вредоносного ПО

28 сентября 2022 г.

Печально известная северокорейская организация, занимающаяся угрозами, Lazarus Group была замечена в адрес разработчиков программного обеспечения и художников в сфере блокчейна с поддельными предложениями о работе.

Исследователи из компании Sentinel One, специализирующейся на кибербезопасности, обнаружили, что групповая операция «Перехват», начатая в 2020 году, все еще активна и по-прежнему занимается поиском доверчивых разработчиков программного обеспечения и художников.

Предпосылка та же: группа создаст поддельные учетные записи. в LinkedIn, Twitter и других социальных сетях, обычно используемых разработчиками и художниками, и начнет связываться с ними, предлагая вакансии, которые слишком хороши, чтобы быть правдой. Жертвы, попадающиеся на приманку, обычно проходят через пару фальшивых собеседований, просто чтобы повысить доверие к процессу. Наконец, после нескольких раундов жертве будет отправлен файл, который должен содержать более подробную информацию о потенциальной позиции. Однако на самом деле файл представляет собой вредоносное ПО.

Поддельные вакансии Crypto.com

В данном конкретном случае Lazarus выдает себя за Crypto.com, одну из крупнейших и самых популярных криптовалютных бирж в мире.

Файл, которым вы делитесь, называется «'Crypto.com_Job_Opportunities_2022_confidential.pdf». Это двоичный файл macOS, который при запуске создает папку «WifiPreference» в каталоге библиотеки пользователя, куда позже будут помещены файлы второго и третьего этапов. На втором этапе развертывается «WifiAnalyticsServ.app», который загружает агент сохраняемости «wifanalyticsagent», и, наконец, переходит к третьему этапу «WiFiCloudWidget», извлеченному из «market.contradecapital[.]com» C2.

Подробнее

> Предложением о работе в Coinbase могут быть хакеры из Северной Кореи

> Вот лучшие антивирусные инструменты прямо сейчас

Sentinel One не смогла получить копию вредоносного ПО для анализа, поскольку на момент расследования сервер был отключен.

Она обнаружила, что злоумышленники не ожидают, что кампания продлится очень долго.

"Субъекты угрозы не предприняли никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочные кампании и/или отсутствие опасений быть обнаруженными их целями", — заявил Sentinel One.

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE