Peretas Korea Utara dari grup Lazarus telah menggunakan executable berbahaya yang ditandatangani untuk macOS untuk meniru Coinbase dan memikat karyawan di sektor teknologi keuangan.
Meskipun tidak mengherankan bahwa mereka menargetkan pekerja di perusahaan Web3, detail tentang kampanye rekayasa sosial khusus ini sejauh ini terbatas pada malware untuk platform Windows.
Peretas Lazarus telah menggunakan tawaran pekerjaan palsu di masa lalu dan dalam operasi baru-baru ini mereka menggunakan malware yang disamarkan sebagai file PDF dengan detail tentang posisi di Coinbase.
Nama dokumen palsu itu adalah “Coinbase_online_careers_2022_07.” Saat diluncurkan, ini menampilkan PDF umpan di atas dan memuat DLL berbahaya yang pada akhirnya memungkinkan pelaku ancaman untuk mengirim perintah ke perangkat yang terinfeksi.
Peneliti keamanan di perusahaan keamanan siber ESET menemukan bahwa para peretas juga memiliki malware yang siap untuk sistem macOS. Mereka mengatakan bahwa file berbahaya dikompilasi untuk Mac dengan silikon Intel dan Apple, yang berarti bahwa pengguna model lama dan baru menjadi sasaran.
Di utas di Twitter, mereka mencatat bahwa malware menjatuhkan tiga file:
bundel FinderFontsUpdater.app
pengunduh safarifontagen
PDF umpan yang disebut PDF “Coinbase_online_careers_2022_07” (sama seperti malware Windows)
Kampanye serupa yang menargetkan pengguna macOS dan dikaitkan dengan Lazarus telah diidentifikasi tahun lalu. Pelaku ancaman mengandalkan taktik rekayasa sosial tawaran pekerjaan palsu yang sama tetapi menggunakan PDF yang berbeda.
ESET menautkan malware macOS baru-baru ini ke Operation In(ter)ception, kampanye Lazarus yang menargetkan organisasi kedirgantaraan dan militer profil tinggi dengan cara yang sama.
Melihat malware macOS, para peneliti memperhatikan bahwa itu ditandatangani pada 21 Juli (sesuai dengan nilai stempel waktu) dengan sertifikat yang dikeluarkan pada bulan Februari untuk pengembang menggunakan nama Shankey Nohria dan pengenal tim 264HFWQH63.
Pada 12 Agustus, sertifikat itu belum dicabut oleh Apple. Namun, aplikasi berbahaya tidak disahkan – proses otomatis yang digunakan Apple untuk memeriksa perangkat lunak untuk komponen berbahaya.
Dibandingkan dengan malware macOS sebelumnya yang dikaitkan dengan kelompok peretas Lazarus, peneliti ESET mengamati bahwa komponen pengunduh terhubung ke server perintah dan kontrol (C2) yang berbeda, yang tidak lagi merespons pada saat analisis.
Kelompok peretas Korea Utara telah lama dikaitkan dengan peretasan cryptocurrency serta menggunakan tawaran pekerjaan palsu dalam kampanye phishing yang bertujuan untuk menginfeksi target yang diminati.
