19/08/22
ESET связала атаки с вредоносной кампанией под названием "Operation In(ter)ception", которая была обнаружена в июне 2020 года. Тогда атаки базировались на социальной инженерии – под видом HR-менеджеров известных компаний аэрокосмической и оборонной промышленности (в том числе Collins Aerospace и General Dynamics) злоумышленники рассылали через LinkedIn фальшивые предложения о работе.
Если с жертвой удавалось установить контакт, киберпреступники присылали связанные с предлагаемой вакансией документы, заражавшие сети компании вредоносным ПО, напоминает Securitylab.
Текущие атаки ничем не отличаются от Operation In(ter)ception, поскольку злоумышленники продолжают обманывать пользователей, распространяя вредоносное ПО, замаскированное под описание вакансий. Оказавшись в системе жертвы, вредонос выгружает три файла: фейковый PDF-документ ‘ Coinbase_online_careers_2022_07.pdf ’, пакет ‘ FinderFontsUpdater.app ’ и загрузчик ‘ safarifontagent ’.
И хотя Coinbase_online_careers_2022_07.pdf имеет расширение .pdf, он на самом деле является исполняемым файлом Mach-O, работающим в качестве дроппера для FinderFontsUpdater, который, в свою очередь, развертывает safarifontsagent – загрузчик, предназначенный для получения полезной нагрузки с сервера хакеров.
ESET заявила, что PDF-файл был подписан 21 июля с использованием сертификата, которы Apple выдала в феврале 2022 года разработчику по имени Шанки Нохрия. Впоследствии, 12 августа, Apple отозвала этот сертификат.
Кроме того, ИБ-специалисту Хоссейну Джази удалось выяснить, что вредонос является кроссплатформенным и использует аналогичный PDF-документ для распространения .exe-файла под названием ‘Coinbase_online_careers_2022_07.exe’.
