L’APT nordcoreano Lazarus ha ripreso i suoi vecchi trucchi con una campagna di cyberespionaggio che prende di mira gli ingegneri con un falso annuncio di lavoro che tenta di diffondere il malware macOS. L’eseguibile malevolo per Mac utilizzato nella campagna prende di mira sia i sistemi basati su chip Apple che Intel.
La campagna, identificata dai ricercatori di ESET Research Labs e rivelata in una serie di tweet pubblicati martedì, impersona il commerciante di criptovalute Coinbase in una descrizione del lavoro che afferma di cercare un responsabile ingegneristico per la sicurezza dei prodotti, hanno rivelato i ricercatori.
Denominata Operation In(ter)ception, la recente campagna rilascia un eseguibile firmato per Mac camuffato da descrizione del lavoro per Coinbase, che i ricercatori hanno scoperto essere stato caricato su VirusTotal dal Brasile, hanno scritto.Infosec Insiders Newsletter “Il malware è compilato sia per Intel che per Apple Silicon”, secondo uno dei tweet. “Rilascia tre file: un documento PDF esca Coinbase_online_careers_2022_07.pdf, un bundle http[://]FinderFontsUpdater[.]app e un downloader safarifontagent”.
Somiglianze con malware precedenti
Il malware è simile a un campione scoperto da ESET a maggio, che includeva anche un eseguibile firmato camuffato da descrizione del lavoro, era compilato sia per Apple che per Intel e rilasciava un’esca PDF, hanno detto i ricercatori.
Tuttavia, il malware più recente è firmato il 21 luglio, secondo il timestamp, il che significa che si tratta di qualcosa di nuovo o di una variante del malware precedente. Utilizza un certificato rilasciato nel febbraio 2022 a uno sviluppatore di nome Shankey Nohria e revocato da Apple il 12 agosto, secondo i ricercatori. L’applicazione stessa non è stata autenticata.
Secondo ESET, Operation In(ter)ception ha anche una versione Windows del malware che utilizza la stessa esca e che è stata individuata il 4 agosto dal ricercatore di Malwarebytes Jazi.
Il malware utilizzato nella campagna si collega anche a un’infrastruttura di comando e controllo (C2) diversa da quella scoperta a maggio, https:[//]concrecapital[.]com/%user%[.]jpg, che non ha risposto quando i ricercatori hanno cercato di connettersi ad essa.
Lazarus in libertà
Lazarus della Corea del Nord è ben noto come una delle APT più prolifiche ed è già nel mirino delle autorità internazionali, essendo stato sanzionato nel 2019 dal governo statunitense.
Lazarus è noto per aver preso di mira accademici, giornalisti e professionisti di vari settori, in particolare l’industria della difesa, per raccogliere informazioni e sostegno finanziario per il regime di Kim Jong-un. Ha spesso utilizzato stratagemmi di impersonificazione simili a quello osservato nell’operazione In(ter)ception per cercare di far abboccare le vittime al malware.
Anche una precedente campagna identificata a gennaio prendeva di mira ingegneri in cerca di lavoro, proponendo loro false opportunità di lavoro in una campagna di spear-phishing. Gli attacchi utilizzavano Windows Update come tecnica di vita e GitHub come server C2.
Nel frattempo, una campagna simile scoperta l’anno scorso ha visto Lazarus spacciarsi per appaltatori della difesa Boeing e General Motors e affermare di cercare candidati al lavoro solo per diffondere documenti dannosi.
Chi è Lazarus? Matrice Digitale ha raccontato la storia dell’APT Nord Coreana
Lazarus: Dark Seoul, Ratankba e KillDisk. Le armi cibernetiche della Corea del Nord
