Le groupe de hackers Lazarus utilise un fichier PDF contenant des offres d’emploi pour Crypto.com afin de distribuer des logiciels malveillants sur les ordinateurs macOS.

Un groupe de pirates du nom de Lazarus utilise un fichier PDF contenant de nombreuses offres d’emploi ouvertes pour Crypto.com pour infecter les machines macOS avec des logiciels malveillants. Les utilisateurs d’Apple doivent donc rester particulièrement vigilants lorsqu’ils reçoivent une offre d’emploi qui semble tout simplement trop belle pour être vraie.

Lazare avait déjà de nombreuses cibles

Le groupe de hackers nord-coréen Lazarus utilise des offres d’emploi lucratives pour Crpyto.com, l’un des principaux échanges de crypto-monnaie au monde, pour distribuer des logiciels malveillants aux utilisateurs de macOS. Dans le cadre de la campagne, les assaillants avaient auparavant utilisé «Opération In(ter)ception” une approche similaire. Ils se sont concentrés sur Coinbase, par exemple, comme l’ont annoncé les chercheurs en sécurité d’ESET en août.

Selon un rapport de SentinelOne, Lazarus attire des personnes avec des offres d’emploi attrayantes depuis au moins 2020. A travers la campagne »Opération Emploi de Rêve« Les attaquants ciblaient déjà les industries de l’aérospatiale et de la défense. Mais les fournisseurs d’énergie figuraient déjà sur leur liste noire.

Mais alors que les pirates avaient l’habitude de distribuer des logiciels malveillants Windows à leurs victimes, avec la dernière campagne, ils ciblent le macOS d’Apple.

Un PDF est au cœur de l’attaque contre les utilisateurs de macOS

Dans un premier temps, les pirates auraient attiré les utilisateurs de macOS avec des attaques de phishing via LinkedIn. Ils prétendent être Crypto.com et offrent des emplois lucratifs. Au cœur de l’attaque se trouve un fichier PDF appelé « Crypto.com_Job_Opportunities_2022_confidential.pdf“. Cela inclut tous les postes vacants chez Crypto.com sur un total de 26 pages.

Alors que l’utilisateur macOS que de l’auteur « Uchan » En regardant un PDF créé avec MS Word 2016, un Mach-O-Binary crée un dossier en arrière-plan « Préférence Wifi” dans le répertoire de la bibliothèque. Les fichiers des étapes ultérieures de l’attaque y sont ensuite stockés.

Dans l’étape suivante, le « WifiAnalyticsServ.app« l’agent de persévérance »agent d’analyse wifi‘ qui se connecte finalement au serveur de commande et de contrôle (C2) pour fournir la charge utile finale,’Widget Nuage Wi-Fi‘ à télécharger sur la machine macOS. Cependant, les chercheurs en sécurité n’ont pas pu le faire car le serveur C2 était hors ligne au moment de l’enquête. En conséquence, aucune autre analyse de la charge utile n’a été possible.

Si vous travaillez avec macOS, vous devez rester attentif aux offres d’emploi

Les binaires utilisés dans l’attaque ne sont pas cryptés, selon SentinelOne »,indiquant peut-être une campagne à court terme et/ou de faibles niveaux de peur d’être détectés par leurs cibles.« 

« Les binaires sont des Mach-O universels qui peuvent fonctionner à la fois sur des machines à silicium Intel et M1 Apple et sont signés avec une signature ad hoc, ce qui signifie qu’ils sont la réussite aux examens Gatekeeper d’Apple bien qu’ils ne soient pas associés à une identité de développeur reconnue. »

SentinelleUn

Ainsi, quiconque travaille dans l’industrie de la cryptographie, travaille avec macOS et est confronté à des offres d’emploi très lucratives via LinkedIn doit toujours faire preuve de prudence. Un simple instant d’inattention peut rapidement entraîner une faille de sécurité majeure pour l’ensemble de l’entreprise pour laquelle vous travaillez.