Lazarus Group เล็งโจมตีผู้ใช้ MacOS ผ่านการจ้างงานคริปโตปลอม

อัพเดทโดย Passanai Jiraruekmongkol
สรุปย่อ
  • Lazarus Group แฮคโดยการแอบอ้างเป็น Crypto.com อย่างไร
  • ช่องทางการกระจายมัลแวร์ยังคงคลุมเครือ

Lazarus Group เป็นแฮคเกอร์ชาวเกาหลีเหนือที่ขณะนี้ส่งข้อเสนอการจ้างงานปลอมที่กำหนดเป้าหมายเพื่อเจาะระบบปฏิบัติการ MacOS ของ Apple ของเหยื่อผ่านติดตั้งมัลแวร์ในการโจมตี

แคมเปญล่าสุดนี้กำลังถูกตรวจสอบโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ SentinelOne บริษัทรักษาความปลอดภัยทางไซเบอร์พบว่ากลุ่มแฮคเกอร์ใช้เอกสารหลอกลวงในการโฆษณาตำแหน่งสมัครงาน โดยแอบอ้างแพลตฟอร์มกระดานเทรดสกุลเงินดิจิทัลในสิงคโปร์ Crypto.com

แคมเปญแฮคล่าสุดนี้ถูกเรียกว่า “Operation In(ter)ception” มีรายงานว่าแคมเปญฟิชชิ่งมุ่งเป้าไปที่ผู้ใช้ Mac เท่านั้น ซึ่งมัลแวร์ที่ใช้สำหรับการแฮคนั้นเหมือนกับมัลแวร์ที่ใช้ในการโพสต์งาน Coinbase ปลอมเมื่อเดือนที่แล้ว นักวิจัยสังเกตและพบว่า  พวกเขาใช้ตำแหน่งงาน Coinbase ปลอมเพื่อหลอกเฉพาะผู้ใช้ macOS ให้ดาวน์โหลดมัลแวร์

Lazarus Group แฮคโดยการแอบอ้างเป็น Crypto.com อย่างไร

มันเป็นกลลวงที่กลุ่มแฮคเกอร์ปลอมมัลแวร์เป็นการประกาศเปิดรับสมัครงานของบริษัทแลกเปลี่ยนคริปโตชื่อดังต่างๆ พวกเขาตกแต่งไฟล์ PDF ให้ดูน่าเชื่อถือและเปิดรับตำแหน่งจำนวนมาก เช่น Art Director-Concept Art (NFT) ในประเทศสิงค์โปร์

ตามรายงานจาก SentinelOne งาน crypto ใหม่นี้พยายามติดต่อเหยื่อโดยการส่งข้อความผ่าน LinkedIn อย่างไรก็ตามพวกเขายังไม่แน่ใจว่ามัลแวร์ถูกส่งผ่านไปในขั้นตอนไหนของกลลวงนี้

การโฆษณางานปลอมทั้ง 2 ที่เคยเกิดขึ้นถูกเรียกว่า Operation In(ter)caption โดยมีชื่อโปรเจคใหญ่อีกชื่อคือ Operation Dream Job

ช่องทางการกระจายมัลแวร์ยังคงคลุมเครือ

บริษัทรักษาความปลอดภัยที่ตรวจสอบเรื่องนี้กล่าวว่ายังไม่ชัดเจนว่ามัลแวร์แพร่กระจายไปอย่างไร เมื่อพิจารณาจากคุณสมบัติทางเทคนิคแล้ว SentinelOne กล่าวว่าขั้นแรกอาจผ่านทาง Mach-O binary ซึ่งเป็นเทมเพลตเดียวกันกับที่ใช้ในกรณีปลอมเป็น Coinbase

ขั้นตอนนี้ประกอบด้วยการสร้างโฟลเดอร์ใหม่ใน library ของผู้ใช้และติดตั้งโปรแกรมที่ต่อต้านการควบคุมของเหยื่อลงไป ขั้นตอนที่สอง คือการแยกและดำเนินการ binary ของขั้นตอนที่สามซึ่งทำหน้าที่เป็นตัวดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ C2

ทาง SentinelOne เสริมว่า จากกระบวนการนี้กลุ่มแฮคเกอร์ ไม่ได้ต้องการแก้ไขหรือเปลี่ยนแปลง binary ในระบบของเหยื่อ มันจึงอาจเป็นเพียงเคมเปญการแฮคระยะสั้นและไม่ได้เกรงกลัวว่าจะถูกตรวจสอบเจอสักเท่าไหร่

SentinelOne ยังกล่าวอีกว่า Operation In(ter)ception ดูเหมือนว่าจะขยายเป้าหมายจากผู้ใช้แพลตฟอร์มการแลกเปลี่ยนคริปโตไปยังพนักงานของพวกเขา เพื่อรขโมยเงินดิจิตอล

ข้อจำกัดความรับผิด

ข้อมูลทั้งหมดที่มีอยู่บนเว็บไซต์ของเราเผยแพร่ด้วยเจตนาที่ดีและเป็นไปเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การกระทำใด ๆ ที่ผู้อ่านดำเนินการตามข้อมูลที่พบบนเว็บไซต์ของเราถือเป็นความเสี่ยงของผู้อ่านโดยเฉพาะ