0
0
A ameaça persistente avançada (APT) norte-coreana Lazarus está lançando uma rede mais ampla com sua campanha em andamento Operação In(ter)cepção, visando Macs com o chip M1 da Apple.
O grupo patrocinado pelo estado continua sua abordagem preferida de lançar ataques de phishing sob o pretexto de oportunidades de emprego falsas. Pesquisadores de ameaças do provedor de detecção de endpoints ESET alertaram esta semana que descobriram um executável para Mac camuflado como uma descrição de trabalho para um cargo de gerente de engenharia na popular operadora de câmbio de criptomoedas Coinbase .
De acordo com o aviso da ESET no Twitter , Lazarus carregou a oferta de trabalho falsa para o VirusTotal do Brasil. O Lazarus projetou a última iteração do malware, Interception.dll, para ser executado em Macs carregando três arquivos: um documento PDF com o falso anúncio de emprego da Coinbase e dois executáveis, FinderFontsUpdater.app e safarifontsagent, de acordo com o alerta. O binário pode comprometer Macs equipados com processadores Intel e com o novo chipset M1 da Apple.
Os pesquisadores da ESET começaram a investigar a Operação In(ter)ception há quase três anos, quando seus pesquisadores descobriram ataques contra empresas aeroespaciais e militares. Eles determinaram que o objetivo principal da campanha era espionagem, embora também tenha encontrado casos de invasores usando a conta de e-mail de uma vítima por meio de um comprometimento de e-mail comercial (BEC) para concluir a operação. O malware Interception.dll apresenta ofertas de trabalho convincentes, mas falsas, para atrair vítimas desavisadas, geralmente usando o LinkedIn.
O ataque ao Mac é o mais recente de uma enxurrada de esforços contínuos do Lazarus para acelerar a Operação In(ter)cepção, que aumentou nos últimos meses . A ESET publicou um white paper detalhado sobre a tática de Lazarus há dois anos.
Risco mitigado pela Apple
Ironicamente, o atraente anúncio de emprego da Coinbase tem como alvo pessoas tecnicamente orientadas.
“Suspeitamos que os invasores estavam em contato direto, então a vítima provavelmente foi instruída a clicar em qualquer janela pop-up que aparecesse para ver a oferta de ‘trabalho dos sonhos’ da Coinbase”, explica Peter Kalnai, pesquisador sênior de malware da ESET. Leitura Sombria.
A Apple revogou o certificado que permitiria a execução do malware no final da semana passada, depois que a ESET alertou a empresa sobre a campanha. Portanto, agora, os computadores com o macOS Catalina v10.15 ou posterior estão protegidos, presumindo que o usuário tenha conhecimento básico de segurança, observa Kalnai.
“O certificado foi revogado, então não é possível executá-lo até que o usuário o adicione aos aplicativos permitidos”, disse ele. “Só então isso permanece uma ameaça quando os invasores começam a ser convincentes o suficiente para enganar a vítima para superar esses obstáculos com a execução. é, eles podem criar um novo certificado não revogado.”
A campanha em andamento e outras da Coreia do Norte continuam frustrantes para os funcionários do governo. O FBI culpou Lazarus por roubar US$ 625 milhões em criptomoeda da Ronin Network, que opera uma plataforma blockchain para o popular jogo NFT Axie Infinity.
Andrew Grotto, que atuou como diretor sênior de política de segurança cibernética na Casa Branca nos governos Obama e Trump, diz que a Coreia do Norte surgiu de um aspirante a antagonista para um dos atores de ameaças mais agressivos do mundo.
“A Coreia do Norte conseguiu adquirir habilidades que podem ser necessárias para criar muito rápido”, diz Grotto, que agora é diretor do Centro de Segurança e Cooperação Internacional do programa de geopolítica, tecnologia e governança da Universidade de Stanford . “Eles rapidamente emergiram como um dos principais, se não os principais, operadores cibernéticos quando se trata de crimes potenciais de ponta”.
FONTE: DARK READING