來自北韓的惡意攻擊軟體 Lazarus 經常針對加密貨幣市場發起攻擊。近期,Lazarus 針對加密貨幣網站上的工作者和準工作者發起了惡意攻擊,希望受害者可以誤載惡意的攻擊性檔案,進而使駭客有機會可以透過內網,對大型公司內部的巨額加密貨幣、NFT進行竊取,或是安插間碟程式。
自今年的8月開始,Lazarus 便假冒 Coinbase 公司,針對 IT 工作者使用的 windows 和 macOS 系統進行惡意的攻擊。
Sentinel One 指出,近期,Lazarus 重覆過去的技倆,在釣魚信件中假冒 Crypto.com,並使用與過去相同的macOS 系統惡意軟件,對求職者進行攻擊。
Lazarus 會在 LinkedIn平台上,初步篩選他們的目標,並傳送假冒的工作邀約訊息給目標受害者們。這些目標受害者會收到 26頁名為"crypto.com_Job_Opportunities_2022_confidential.pdf" 的 PDF 文件。一旦使用者點選下載,在背景,Mach O-Binary 會在 MAC 電腦的資源庫中新增一個名為 "WifiPreference" 的資料幾,並在中間新增第二階段的檔案- "WifiAnalyticsServ.app" 和第三階段的檔案 "WiFiCloudWidget"。
第二階段的檔案- "WifiAnalyticsServ.app" 最後會連接至 "market.contradecapital[.]com" 網域中的 C2 伺服器,以加載最後的程式- "WiFiCloudWidget"。在這一系列的過程中,Lazarus 並沒有對過程中的任一階段進行加密,也因為此些資料具有 ad hoc signature,所以可以清鬆的避開 Apple GateKeeper,並以「可以被信任的程式」執行。
參考資料
Lazarus hackers drop macOS malware via Crypto.com job offers, BleepingComputer (27 Sept 2022)- https://www.bleepingcomputer.com/news/security/lazarus-hackers-drop-macos-malware-via-cryptocom-job-offers/
Lazarus Group Targets MacOS Users Seeking Crypto Jobs, infosecurity (27 Sept 2022)- https://www.infosecurity-magazine.com/news/lazarus-targets-macos-users/