APT de Corea del Norte Lázaro está a la altura de sus viejos trucos con una campaña de ciberespionaje dirigida a ingenieros con una publicación de trabajo falsa que intenta propagar malware macOS. El ejecutable malicioso de Mac utilizado en la campaña se dirige a los sistemas basados ​​en chips tanto de Apple como de Intel.

La campaña, identificada por investigadores de Laboratorios de investigación de ESET y revelado en un serie de tweets publicado el martes, suplanta comerciante de criptomonedas Coinbase en una descripción de trabajo que afirmaba buscar un gerente de ingeniería para la seguridad del producto, divulgaron los investigadores.

Apodada Operation In(ter)ception, la campaña reciente lanza un ejecutable de Mac firmado disfrazado como una descripción de trabajo para Coinbase, que los investigadores descubrieron cargado en VirusTotal desde Brasil, escribieron.“El malware se compila tanto para Intel como para Apple Silicon”, según uno de los tuits. "Deja caer tres archivos: un documento PDF señuelo Coinbase_online_careers_2022_07.pdf, un paquete http[://]FinderFontsUpdater[.]aplicación y un descargador safarifontagent".

Similitudes con malware anterior

el malware es similar a una muestra descubierto por ESET en mayo, que también incluía un ejecutable firmado disfrazado como una descripción del trabajo, se compiló tanto para Apple como para Intel y lanzó un señuelo en PDF, dijeron los investigadores.

Sin embargo, el malware más reciente se firmó el 21 de julio, según su marca de tiempo, lo que significa que es algo nuevo o una variante del malware anterior. Utiliza un certificado emitido en febrero de 2022 a un desarrollador llamado Shankey Nohria y que Apple revocó el 12 de agosto, dijeron los investigadores. La aplicación en sí no fue notariada.

Operation In(ter)ception también tiene una versión complementaria del malware para Windows que arroja el mismo señuelo y fue detectado el 4 de agosto por Malwarebytes. investigador de inteligencia de amenazas Jazi, según ESET.

El malware utilizado en la campaña también se conecta a una infraestructura de comando y control (C2) diferente a la del malware descubierto en mayo, https:[//]concrecapital[.]com/%user%[.]jpg, que no respondió cuando los investigadores intentaron conectarse a él.

Lázaro suelto

El Lazarus de Corea del Norte es bien conocido como uno de los APT más prolíficos y ya está en la mira de las autoridades internacionales, ya que fue sancionado en 2019 por el gobierno de los EE. UU.

Lazarus es conocido por apuntar a académicos, periodistas y profesionales en varias industrias, particularmente la industria de defensa–reunir inteligencia y respaldo financiero para el régimen de Kim Jong-un. A menudo ha utilizado estratagemas de suplantación de identidad similares a las observadas en Operation In(ter)ception para intentar que las víctimas muerdan el anzuelo del malware.

Una campaña anterior identificada en enero también ingenieros en busca de empleo específicos ofreciéndoles falsas oportunidades de empleo en una campaña de spear-phishing. Los ataques utilizaron Windows Update como una técnica de vivir fuera de la tierra y GitHub como un servidor C2.

Mientras tanto, un campaña similar descubierta el año pasado vio a Lazarus haciéndose pasar por los contratistas de defensa Boeing y General Motors y afirmando buscar candidatos para el trabajo solo para difundir documentos maliciosos.

cambiándolo

Sin embargo, más recientemente, Lazarus ha diversificado sus tácticas, y los federales revelaron que Lazarus también ha sido responsable de una serie de criptoatracos destinados a llenar de efectivo al régimen de Jong-un.

En relación con esta actividad, el gobierno de EE. sanciones impuestas contra el servicio de mezcla de criptomonedas Tornado Cash por ayudar a Lazarus a lavar dinero en efectivo de sus actividades cibercriminales, que creen que en parte son para financiar el programa de misiles de Corea del Norte.

Lazarus incluso se ha sumergido en ransomware en medio de su frenesí de actividad de extorsión cibernética. En mayo, investigadores de la firma de ciberseguridad Trellix vinculó el ransomware VHD recientemente surgido al APT de Corea del Norte.