Контакты
Подписка 2024
Защищенный Linux
13 июня. Кибербезопасность предприятия и защита инфраструктуры и приложений от современных угроз
Регистрируйтесь на онлайн-конференцию!

Группировка Lazarus атакует жертв с помощью вредоносного ПО для Mac с чипсетами Intel и M1

19/08/22

Korean hackers10

ESET связала атаки с вредоносной кампанией под названием "Operation In(ter)ception", которая была обнаружена в июне 2020 года. Тогда атаки базировались на социальной инженерии – под видом HR-менеджеров известных компаний аэрокосмической и оборонной промышленности (в том числе Collins Aerospace и General Dynamics) злоумышленники рассылали через LinkedIn фальшивые предложения о работе.

Если с жертвой удавалось установить контакт, киберпреступники присылали связанные с предлагаемой вакансией документы, заражавшие сети компании вредоносным ПО, напоминает Securitylab.

Текущие атаки ничем не отличаются от Operation In(ter)ception, поскольку злоумышленники продолжают обманывать пользователей, распространяя вредоносное ПО, замаскированное под описание вакансий. Оказавшись в системе жертвы, вредонос выгружает три файла: фейковый PDF-документ ‘ Coinbase_online_careers_2022_07.pdf ’, пакет ‘ FinderFontsUpdater.app ’ и загрузчик ‘ safarifontagent ’.

И хотя Coinbase_online_careers_2022_07.pdf имеет расширение .pdf, он на самом деле является исполняемым файлом Mach-O, работающим в качестве дроппера для FinderFontsUpdater, который, в свою очередь, развертывает safarifontsagent – загрузчик, предназначенный для получения полезной нагрузки с сервера хакеров.

ESET заявила, что PDF-файл был подписан 21 июля с использованием сертификата, которы Apple выдала в феврале 2022 года разработчику по имени Шанки Нохрия. Впоследствии, 12 августа, Apple отозвала этот сертификат.

Кроме того, ИБ-специалисту Хоссейну Джази удалось выяснить, что вредонос является кроссплатформенным и использует аналогичный PDF-документ для распространения .exe-файла под названием ‘Coinbase_online_careers_2022_07.exe’.

Темы:ПреступленияESETLazarus GroupmacOSфишинг
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...