El infame actor de amenazas de Corea del Norte, Lazarus Group, ha sido visto intentando atraer a los desarrolladores de blockchain con ofertas de trabajo falsas cargadas de malware.
Investigadores de ciberseguridad de Malwarebytes han descubierto una nueva campaña en la que Lazarus asume la identidad (se abre en una pestaña nueva) de Coinbase, uno de los intercambios de criptomonedas más grandes y populares del mundo.
Luego, los delincuentes se comunican con los desarrolladores de blockchain con una oferta de trabajo para el rol de «Gerente de Ingeniería, Seguridad del Producto» e incluso realizan algunas entrevistas para hacer que toda la campaña sea más creíble. Sin embargo, en un momento dado, los atacantes compartirán un archivo, aparentemente un PDF, con detalles sobre el supuesto puesto de trabajo. Sin embargo, lo único que tiene este archivo con un PDF es el ícono, ya que, de hecho, es un ejecutable: Coinbase_online_careers_2022_07.exe. Además del .exe, el actor de amenazas también implementará una DLL maliciosa.
Abundancia de ofertas de trabajo falsas
Estos archivos luego se conectarán a GitHub, que sirve como un servidor de comando y control (C2), que comparte más instrucciones sobre cómo infectar mejor el punto final.
El tipo de ataque de “oferta de trabajo falsa” no es nada nuevo. De hecho, el robo de criptografía más grande de todos los tiempos, un ataque de $ 600 millones en el puente Ronin, ocurrió de la misma manera. Uno de los desarrolladores de Ronin fue contactado, a través de LinkedIn, por alguien que pretendía ser un cazatalentos en busca de desarrolladores de calidad.
Una cosa llevó a la otra, y la víctima terminó descargando un archivo PDF armado que eventualmente les dio a los atacantes las llaves del reino de Ronin.
El FBI también señaló con el dedo a Lazarus Group por este ataque. Independientemente de si termina siendo cierto o no, este actor de amenazas no es ajeno a las ofertas de trabajo falsas. El grupo ya ha utilizado General Dynamics y Lockheed Martin para el mismo propósito.
Lazarus generalmente ataca bancos, intercambios de criptomonedas, mercados de NFT y, a veces, personas conocidas por tener una bolsa pesada de criptomonedas.
Vía: Bleeping Computer (se abre en una pestaña nueva)