Lazarus黑客組織冒充 Coinbase招聘攻擊求職者
Lazarus黑客組織使用適用于 macOS 系統,并經過簽名的惡意可執行文件,冒充Coinbase 招聘信息。通過這樣的方法吸引金融技術領域的員工。此前, Lazarus曾使用虛假的工作機會誘騙求職者,在近期的網絡攻擊活動中, Lazarus黑客組織使用包含 Coinbase 職位詳細信息的 PDF 文件進行傳播。
Coinbase_online_careers_2022_07,是個虛假的招聘信息文檔。如果用戶點擊該文檔,就會顯示如上圖的誘餌PDF文件,然后就會調用惡意 DLL,從而允許攻擊者向受影響的設備發送命令。
據專家表示,黑客已經做好攻擊 macOS 系統的準備。據悉,Intel 和 Apple Silicon 的 Mac 均會受到影響,不管新設備還是舊設備都可以成為黑客的攻擊目標。
在推特上的一份帖子中,該惡意文件會釋放 3 個文件:捆綁的 FinderFontsUpdater.app;下載器 safarifontagent;一個稱之為 “Coinbase_online_careers_2022_07”的誘餌 PDF 文件。
ESET 的網絡安全專家認為,最近的 macOS 惡意軟件與 Operation In(ter)ception都是 Lazarus 的手筆,因為該組織以類似的方式攻擊知名航空航天和軍事組織。
研究人員通過查看macOS 惡意軟件,發現該惡意軟件是在 7 月 21 日簽署的,并在 2 月份向開發人員頒發了證書,該證書使用名稱 Shankey Nohria 和團隊標識符 264HFWQH63。
該證書在8 月 12 日尚未被 Apple 吊銷。但是,該惡意應用程序并未經過公證,這是Apple 用于檢查軟件是否存在惡意組件的自動過程。
和之前歸因于 Lazarus 黑客組織的 macOS 惡意軟件相比,ESET 研究人員觀察到下載器組件連接到不同的命令和控制 (C2) 服務器,該服務器在分析時不再響應。一直以來,朝鮮黑客組織與加密貨幣黑客以及旨在感染感興趣目標的網絡釣魚活動中使用虛假工作機會有關。
如何防范網絡釣魚?
1、不要點擊電子郵件中的不明鏈接;
2、不要回復索取個人數據的電子郵件;
3、使用安全的網站,在信譽好的公司網站進行網上交易,輸入身份資料和賬戶信息要慎重;
4、確保電腦安全,安裝防火墻和殺毒軟件,并定期更新殺毒軟件。
