Предложение о работе в Coinbase на самом деле может быть от северокорейских хакеров
вычисления techradar.com Новости

Предложение о работе в Coinbase на самом деле может быть от северокорейских хакеров

19 августа 2022 г.

Эксперты предупреждают, что опасная группа Lazarus теперь нацелена на разработчиков Web3 на устройствах Mac.

Спонсируемый государством северокорейский актор угроз недавно преследовал разработчиков блокчейна с поддельными выгодными предложениями о работе, которые оказались не чем иным, как похитителями информации и malware.

Хотя сначала эти атаки были ограничены пользователями Windows, исследователи кибербезопасности из ESET теперь обнаружили, что они распространяются и на территорию Apple.

Атакованы чипы Intel и Apple

Кампания практически одинакова для обеих платформ. Группа будет выдавать себя за Coinbase, одну из крупнейших и самых популярных криптовалютных бирж в мире, и обратиться к разработчикам блокчейна через LinkedIn и другие платформы с предложением работы. После небольшого обмена мнениями и нескольких раундов «собеседований» злоумышленник вручал жертве нечто похожее на файл .pdf с информацией о должности.

Имя файла — Coinbase_online_careers_2022_07. , и хотя он выглядит как .pdf (значок и все остальное), на самом деле это вредоносная DLL, которая позволяет Lazarus отправлять команды на зараженную конечную точку. Исследователи также обнаружили, что файл скомпилирован для компьютеров Mac с процессорами Intel и Apple, предполагая, что группа занимается как старыми, так и новыми моделями устройств.

Рассматривая атаку через Twitter, исследователи заявили, что вредоносное ПО сбрасывает три файла: пакет FinderFontsUpdater.app, загрузчик safarifontagent и PDF-файл-приманку под названием «Coinbase_online_careers_2022_07.pdf».

Подробнее

> ФБР сообщает, что северокорейская группировка Lazarus за огромной кражей криптовалюты

> Нет, Coinbase не хочет предлагать вам работу — это афера из Северной Кореи

> Это лучшие биткойн-кошельки прямо сейчас

Lazarus Group не привыкать к атакам с поддельными предложениями о работе, и в прошлом она проводила такие атаки с большим успехом. Фактически, одно из крупнейших ограблений криптовалюты в истории, тяжелая атака на мост Ронин стоимостью более 600 миллионов долларов, была совершена именно таким образом.

Связавшись с инженером-программистом и заманив его в загрузку фальшивого .pdf-файла, злоумышленники из Lazarus проникли в систему, получили необходимые учетные данные и вывели миллионы криптовалютных токенов.< /p>

Однако в данном случае вредоносное ПО было подписано 21 июля, и сертификат был выдан разработчику под именем Шэнки Нория. Идентификатор команды был 264HFWQH63. Хотя сертификат не был отозван 12 августа во время его проверки, сообщает BleepingComputer, исследователи обнаружили, что Apple не сканировала его на наличие вредоносных компонентов.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE