- Publicité -


Pirates de la Corée du Nord

Le tristement célèbre groupe Lazarus a poursuivi sa tendance à tirer parti des opportunités d’emploi non sollicitées pour déployer des logiciels malveillants ciblant le système d’exploitation macOS d’Apple.

Dans la dernière variante de la campagne observée par la société de cybersécurité SentinelOne la semaine dernière, un leurre documente des positions publicitaires pour la société d’échange de crypto-monnaie basée à Singapour Crypto.com.

La dernière divulgation s’appuie sur les conclusions précédentes de la société slovaque de cybersécurité ESET en août, qui s’est penchée sur une fausse offre d’emploi similaire pour la plate-forme d’échange de crypto-monnaie Coinbase.

- Publicité -
La cyber-sécurité

Ces deux fausses offres d’emploi ne sont que les dernières d’une série d’attaques baptisée Operation In(ter)ception, qui, à son tour, fait partie d’une campagne plus large suivie sous le nom d’Operation Dream Job.

Bien que le vecteur de distribution exact du logiciel malveillant reste inconnu, on soupçonne que des cibles potentielles sont identifiées via des messages directs sur le site de réseautage professionnel LinkedIn.

Pirates de la Corée du Nord

Les intrusions commencent par le déploiement d’un binaire Mach-O, un compte-gouttes qui lance le document PDF leurre contenant les offres d’emploi sur Crypto.com, tandis qu’en arrière-plan, il supprime le état enregistré (“com.apple.Terminal.savedState”).

Le téléchargeur, également similaire à la bibliothèque safarifontagent utilisée dans la chaîne d’attaque Coinbase, agit ensuite comme un conduit pour un ensemble de deuxième étape simple nommé “WifiAnalyticsServ.app”, qui est une version imitée de “FinderFontsUpdater.app”.

“Le but principal de la deuxième étape est d’extraire et d’exécuter le binaire de la troisième étape, wifianalyticsagent”, ont déclaré les chercheurs de SentinelOne, Dinesh Devadoss et Phil Stokes. a dit. “Cela fonctionne comme un téléchargeur à partir d’un [command-and-control] serveur.”

La cyber-sécurité

La charge utile finale livrée à la machine compromise est inconnue en raison du fait que le serveur C2 responsable de l’hébergement du logiciel malveillant est actuellement hors ligne.

Ces attaques ne sont pas isolées, car le groupe Lazarus a l’habitude de mener des cyber-attaques sur des plateformes de blockchain et de crypto-monnaie en tant que mécanisme d’évasion des sanctions, permettant aux adversaires d’obtenir un accès non autorisé aux réseaux d’entreprise et de voler des fonds numériques.

“Les acteurs de la menace n’ont fait aucun effort pour chiffrer ou obscurcir aucun des fichiers binaires, indiquant peut-être des campagnes à court terme et/ou peu de crainte d’être détectés par leurs cibles”, ont déclaré les chercheurs.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici