A Coreia do Norte APT ‘Lazarus’ está recorrendo a seus velhos truques com uma campanha de ciberespionagem direcionada a engenheiros que usam uma falsa oferta de emprego para espalhar malware para macOS. O executável malicioso para Mac alvo desta campanha tem como alvo sistemas que usam os chips da Apple e Intel.
A ESET Research Labs desvendou uma campanha na terça-feira, alegando que o Coinbase procurava um gerente de engenharia para a segurança do produto. Os pesquisadores divulgaram os detalhes da campanha em uma série de tuítes.
A campanha recente chamada Operação Dobrada In(ter)ception trouxe um executável Mac assinado disfarçado como uma descrição de trabalho para Coinbase, que os pesquisadores descobriram que estava sendo carregado para o VirusTotal do Brasil. De acordo com um dos tweets, o malware foi compilado para Intel e Apple Silicon. Ele baixou três arquivos: um documento PDF decoy Coinbase_online_careers_2022_07.pdf, um pacote http[://]FinderFontsUpdater[.]app e o downloader SafariFontAgent.
Igual ao malware de antes, o ransomware impede que os dados armazenados no computador sejam acessados.
O vírus é similar a uma amostra descoberta pela ESET em maio, que também incluía um arquivo executável em forma de uma descrição de trabalho, que foi criado para computadores da Apple e Intel, e liberou um arquivo falso em PDF, de acordo com os pesquisadores.
No entanto, o mais atual malware é identificado em 21 de julho, de acordo com o registro de data/hora, sugerindo que se trata de algo novo ou de uma variação do programa malicioso antigo. Ele usa um certificado emitido em fevereiro de 2022 para Shankey Nohria, desenvolvedor, cujo documento foi invalidado pela Apple em 12 de agosto, segundo os cientistas. O próprio aplicativo não foi verificado.
A operação In(ter)cepção possui uma variante associada ao Windows que libera o mesmo decoy que foi detectada em 4 de agosto pelo pesquisador de inteligência de ameaças do Malwarebytes, Jazi, de acordo com a ESET.
O vírus malicioso usado na campanha se liga a uma infraestrutura de comando e controle que difere daquela detectada em maio, https://concrecapital.com/%user%[.]jpg. Contudo, quando os investigadores tentaram estabelecer conexão, não obtiveram resposta.
Lázaro aproximou-se do Lusoiro.
Lázaro da Coreia do Norte é amplamente conhecido como um dos APTs mais ativos e foi inserido na lista de sanções dos Estados Unidos em 2019.
Lázaro é mundialmente conhecido por separar estudantes, jornalistas e trabalhadores de diversos setores – principalmente da área de defesa – para reunir informações e financiamento para o governo de Kim Jong-un. Ele tem frequentemente empregado táticas de enganação parecidas com aquelas vistas na Operação In(ter)cepção para tentar levar vítimas a baixar o vírus malicioso.
Uma campanha anterior detectada em janeiro tinha como alvo os engenheiros de busca de emprego, realizando uma campanha de phishing para criar falsas oportunidades de emprego para eles. Os ataques utilizaram o Windows Update como uma técnica de injeção de código malicioso e o GitHub como servidor de comando e controle.
Enquanto isso, uma campanha semelhante descoberta no último ano descobriu Lázaro imitando os contratantes de defesa Boeing e General Motors e afirmando somente procurar pretendentes para espalhar arquivos maliciosos.
Levantando-o para cima
Contudo, ultimamente, Lázaro ampliou suas estratégias, com os federais divulgando que Lázaro também tem sido responsável por vários assaltos cibernéticos destinados a abastecer o governo de Jong-un com fundos.
Conforme a essa tarefa, as autoridades dos Estados Unidos aplicaram penalidades ao Tornado Cash, um misturador de moeda digital, acusando-o de cooperar com Lazarus na lavagem de dinheiro, o que eles consideram, em parte, estar sendo usado para apoiar o programa de mísseis da Coreia do Norte.
Lázaro mergulhou o seu dedo do pé em ransomware, enquanto ele se empenhava em atividades de ciber-extorsão. Em meados de maio, especialistas da Trellix, empresa de cibersegurança, relacionaram o recém-descoberto ransomware VHD ao grupo norte-coreano de ciberataques conhecido como APT.
Mande esse artigo para seus amigos.
- O Governo Federal declarou recentemente novas ações para enfrentar a pandemia provocada pelo coronavírus.
- Com gentileza, gostaria de solicitar-lhe um favor.