Обнаружена новая фишинговая кампания известной северокорейской группировки Lazarus, в ходе которой хакеры выдают себя за представителей платформы Coinbase, чтобы атаковать сотрудников финтех-индустрии.
Киберпреступники через LinkedIn предлагают жертвам работу и предварительное собеседование, используя методы социальной инженерии, согласно Securitylab. Участники группы нацелены на кандидатов, подходящих на должность «Инженерный менеджер по безопасности продуктов». Исследователь безопасности из Malwarebytes Хоссейн Джази первый обнаружил кампанию и сообщил об этом в Twitter.
Жертва должна скачать PDF-файл с информацией о вакансии, который является вредоносным исполняемым файлом со значком PDF. Файл называется «Coinbase_online_careers_2022_07.exe», и при его выполнении отображается PDF-документ, а также загружается вредоносная DLL.
После запуска вредоносная программа использует GitHub в качестве сервера управления и контроля (Command and Control, C2) для получения команд для выполнения на зараженном устройстве. На данный момент нет информации о жертвах и затронутых организациях.
Lazarus использует аналогичные тактики и методы для заражения своих целей вредоносными программами, а инфраструктура отдельных фишинговых кампаний частично совпадает. Для проведения кампании Coinbase требуется всего один человек в компании, чтобы открыть PDF-файл и позволить хакерам получить первоначальный доступ к корпоративной сети.