Los expertos han advertido que el peligroso grupo Lazarus ahora está apuntando a los desarrolladores de Web3 en dispositivos Mac.
El actor de amenazas patrocinado por el estado de Corea del Norte persiguió recientemente a los desarrolladores de blockchain con ofertas de trabajo falsas y lucrativas que resultaron ser nada más que ladrones de información y malware. (se abre en una pestaña nueva).
Si bien estos ataques se limitaron a los usuarios de Windows al principio, los investigadores de ciberseguridad de ESET ahora han descubierto que también se están expandiendo al territorio de Apple.
Chips de Intel y Apple atacados
La campaña es prácticamente la misma para ambas plataformas. El grupo se haría pasar por Coinbase, uno de los intercambios de criptomonedas más grandes y populares del mundo, y se comunicaría con los desarrolladores de blockchain a través de LinkedIn y otras plataformas con una oferta de trabajo. Después de un poco de ida y vuelta, y algunas rondas de «entrevistas», el atacante entregaría a la víctima lo que parece ser un archivo .pdf con los detalles del puesto de trabajo.
El nombre del archivo es Coinbase_online_careers_2022_07, y aunque parece un .pdf (icono y todo), en realidad es una DLL maliciosa que permite a Lazarus enviar comandos al punto final infectado. El archivo está compilado para Mac con procesadores Intel y Apple, descubrieron los investigadores, lo que sugiere que el grupo busca modelos de dispositivos más antiguos y más nuevos.
Al detallar el ataque a través de Twitter, los investigadores dijeron que el malware arroja tres archivos: el paquete FinderFontsUpdater.app, el descargador safarifontagent y un PDF de señuelo llamado «Coinbase_online_careers_2022_07.pdf».
Lazarus Group no es ajeno a los ataques de ofertas de trabajo falsas, y ha llevado a cabo estos ataques en el pasado con mucho éxito. De hecho, uno de los robos de criptomonedas más grandes de la historia, el ataque de más de $ 600 millones en el puente Ronin, se realizó exactamente de esa manera.
Después de comunicarse con un ingeniero de software y atraerlo para que descargara el archivo .pdf falso, los atacantes de Lazarus lograron ingresar al sistema, obtuvieron las credenciales necesarias y desviaron millones en tokens de criptomonedas.
En este caso, sin embargo, el malware se firmó el 21 de julio, con un certificado emitido a un desarrollador con el nombre de Shankey Nohria. El identificador del equipo era 264HFWQH63. Si bien el certificado no había sido revocado el 12 de agosto cuando se verificó, BleepingEquipo informes, los investigadores encontraron que Apple no lo escaneó en busca de componentes maliciosos.
Vía: BleepingComputer (se abre en una pestaña nueva)