Lazarus, una de las bandas de hackers más famosas del mundo, que se sospecha que son hackers norcoreanos, ha comenzado a publicar anuncios de trabajo falsos para atraer desarrolladores Web3 en dispositivos Mac. El grupo ahora se dirige a aquellos que quieren conseguir un trabajo en TI.
Los piratas informáticos intentan atacar a los desarrolladores Web3 que utilizan dispositivos Mac mediante anuncios de empleo falsos
A medida que la tecnología y la ciberseguridad avanzaron, los piratas informáticos también intentaron volverse más astutos para encontrar víctimas desafortunadas y explotarlas. Aparte de gobiernos, oficinas, corporaciones y negocios, parece que el grupo Lazarus está cambiando su enfoque hacia los desarrolladores Web3 que utilizan dispositivos Mac.
Según el relato de Radar tecnológico, el actor de amenazas, que se decía que estaba patrocinado por el estado de Corea del Norte, intentó perseguir a los desarrolladores de blockchain ofreciéndoles ofertas de trabajo lucrativas. Las ofertas de trabajo, sin embargo, eran sólo una fachada para los ladrones de información e incluso malware.
Los investigadores de ciberseguridad han descubierto que los ataques también afectan a los usuarios de Apple
Inicialmente, ese tipo de ataques se limitaban solo a los usuarios de Windows, pero los investigadores de ciberseguridad de ESET descubrieron que los ataques ahora se están expandiendo más allá de Windows y también al territorio de Apple.
La campaña de ataque es bastante similar tanto para los usuarios de Windows como para los de Apple. Básicamente, el grupo Lazarus intentaría hacerse pasar por Coinbase y comunicarse con diferentes desarrolladores de blockchain a través de LinkedIn y otras plataformas para ofrecerles un trabajo.
Una vez que los piratas informáticos logran una buena relación, hacen que las víctimas descarguen una DLL maliciosa para infectar su computadora
Después de algunas rondas de la “entrevista”, los atacantes enviaban a la víctima un archivo .pdf que supuestamente contendría los detalles del puesto. El problema, sin embargo, es que no se trata de un archivo PDF sino de una DLL maliciosa que permitirá al grupo enviar comandos directamente al punto final infectado.
Según los investigadores, el archivo es capaz de ejecutarse por sí solo en Mac con procesador Intel y Apple. Esto significa que el grupo está tratando de perseguir no sólo modelos de dispositivos más antiguos sino también más nuevos.
Lazarus tuvo un gran éxito cuando lanzaron un ataque de 600 millones de dólares en el puente Ronin
Se subió un hilo detallado a Gorjeo compartiendo cómo el malware eliminaría tres archivos diferentes. El campo incluye el paquete FinderFontsUpdated.app, el descargador safarifontagent y el señuelo “Coinbase_online_careers_2022_07.pdf”.
El Grupo Lazarus no es de ninguna manera nuevo en el juego y ya ha realizado varios atracos digitales exitosos en el pasado. Uno de sus aspectos más destacados incluye el ataque de 600 millones de dólares al puente Ronin.
#ESETresearch #ROTURA Un ejecutable de Mac firmado disfrazado de descripción de trabajo para Coinbase fue subido a VirusTotal desde Brasil 🇧🇷. Esta es una instancia de Operación In(ter)cepción por #Lázaro para Mac. @pkalnai @dbreitenbacher 1/7 pic.twitter.com/dXg89el5VT
— Investigación de ESET (@ESETresearch) 16 de agosto de 2022
Cómo el grupo Lazarus robó millones de tokens criptográficos
El grupo hizo esto intentando atraer a un ingeniero de software para que descargara los archivos falsos. Luego, los atacantes pudieron encontrar su camino directamente hacia el sistema, lo que les permitió obtener las credenciales necesarias y desviar millones en tokens criptográficos.
De acuerdo a Computadora que suenael malware macOS llevaba un certificado a un desarrollador llamado Shankey Nohria con el identificador de equipo 264HFWQH63.
ⓒ 2023 . .
