Grup Lazarus adalah peretas Korea Utara yang sekarang mengirim tidak diminta dan pekerjaan kripto palsu yang ditargetkan ke sistem operasi macOS Apple. Kelompok peretas telah menyebarkan malware yang melakukan serangan.
Varian terbaru dari kampanye ini sedang diteliti oleh perusahaan keamanan siber SentinelOne.
Perusahaan keamanan siber menemukan bahwa kelompok peretas menggunakan dokumen umpan untuk posisi iklan untuk platform pertukaran mata uang kripto yang berbasis di Singapura bernama Crypto.com dan melakukan peretasan yang sesuai.
Varian terbaru dari kampanye peretasan disebut "Operasi Di(ter)sepsi". Kabarnya, kampanye phishing sejauh ini hanya menargetkan pengguna Mac.
Malware yang digunakan untuk peretasan ternyata identik dengan yang digunakan dalam posting pekerjaan Coinbase palsu.
Bulan lalu, para peneliti mengamati dan menemukan bahwa Lazarus menggunakan lowongan pekerjaan Coinbase palsu untuk mengelabui pengguna macOS agar mengunduh malware.
Bagaimana Grup Melakukan Peretasan Di Platform Crypto.com
Ini telah dianggap sebagai peretasan yang diatur. Peretas ini telah menyamarkan malware sebagai posting pekerjaan dari bursa kripto populer.
Hal ini dilakukan dengan menggunakan dokumen PDF yang dirancang dengan baik dan tampak sah yang menampilkan lowongan iklan untuk berbagai posisi, seperti Art Director-Concept Art (NFT) di Singapura.
Menurut sebuah laporan dari SentinelOne, godaan pekerjaan crypto baru ini termasuk menargetkan korban lain dengan menghubungi mereka di pesan LinkedIn oleh Lazarus.
Memberikan rincian tambahan mengenai kampanye peretas, SentinelOne menyatakan,
Meskipun tidak jelas pada tahap ini bagaimana malware didistribusikan, laporan sebelumnya menunjukkan bahwa pelaku ancaman menarik korban melalui pesan yang ditargetkan di LinkedIn.
Kedua iklan pekerjaan palsu ini hanyalah yang terbaru dari sejumlah serangan yang disebut Operasi In(ter)ception, dan yang pada gilirannya merupakan bagian dari kampanye yang lebih luas yang berada di bawah operasi peretasan yang lebih luas yang disebut Operation Dream Job.
Bacaan Terkait: STEPN Bermitra Dengan Blok Pemberian Untuk Mengaktifkan Donasi Crypto Untuk Lembaga Nonprofit
Kurang Jelas Tentang Bagaimana Malware Didistribusikan
Perusahaan keamanan yang menyelidiki ini menyebutkan bahwa masih belum jelas bagaimana malware itu diedarkan.
Mempertimbangkan teknis, SentinelOne mengatakan bahwa penetes tahap pertama adalah biner Mach-O, yang sama dengan biner templat yang telah digunakan dalam varian Coinbase.
Tahap pertama terdiri dari membuat folder baru di perpustakaan pengguna yang menjatuhkan agen persistensi.
Tujuan utama dari tahap kedua adalah untuk mengekstrak dan mengeksekusi biner tahap ketiga, yang bertindak sebagai pengunduh dari server C2.
Nasihat itu berbunyi,
Pelaku ancaman tidak melakukan upaya untuk mengenkripsi atau mengaburkan biner mana pun, yang mungkin menunjukkan kampanye jangka pendek dan/atau sedikit ketakutan akan deteksi oleh target mereka.
SentinelOne juga menyebutkan bahwa Operation In(ter)ception juga tampaknya memperluas target dari pengguna platform pertukaran crypto ke karyawan mereka, karena sepertinya “apa yang mungkin merupakan upaya gabungan untuk melakukan spionase dan pencurian cryptocurrency.”
Sumber: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/