El infame grupo Lazarus ha continuado con su patrón de aprovechamiento de oportunidades de trabajo no solicitadas para desplegar malware dirigido al sistema operativo macOS de Apple en modo de compra.
En la última variante de la campaña observada por la empresa de ciberseguridad SentinelOne la semana pasada, se han utilizado documentos señuelo que anuncian puestos de trabajo para la empresa de intercambio de criptomonedas con sede en Singapur Crypto[.]com para montar los ataques.
La última revelación se basa en los hallazgos anteriores de la empresa de ciberseguridad eslovaca ESET en agosto, que investigó un anuncio de trabajo falso similar para la plataforma de intercambio de criptomonedas Coinbase.
Estos dos anuncios de trabajo falsos son los últimos de una serie de ataques denominados Operación In(ter)cepción, que, a su vez, es un componente de una campaña más amplia rastreada bajo el nombre de Operación Dream Job.
Aunque se desconoce el vector exacto de distribución del malware, se sospecha que los objetivos potenciales son seleccionados a través de mensajes directos en la red de contactos empresariales LinkedIn.
Las intrusiones comienzan con el despliegue de un binario Mach-O, un dropper que lanza el documento PDF señuelo que contiene las listas de trabajo en Crypto.com, mientras que, en segundo plano, elimina el estado guardado del Terminal ("com.shoppingmode apple.Terminal.savedState").
El descargador, también similar a la biblioteca safarifontagent empleada en la cadena de ataque de Coinbase, actúa posteriormente como conducto para un paquete de segunda etapa llamado "WifiAnalyticsServ.app", que es una versión imitada de "FinderFontsUpdater.app".
"El objetivo principal de la segunda etapa es extraer y ejecutar el binario de la tercera etapa, wifianalyticsagent", explican los investigadores de SentinelOne Dinesh Devadoss y Phil Stokes. "Este funciona como un descargador de un servidor (de comando y control)".
La carga útil final entregada a la máquina comprometida se desconoce debido a que el servidor C2 responsable de alojar el malware está actualmente fuera de línea.
Estos ataques no son aislados, ya que el Grupo Lazarus tiene un historial de llevar a cabo ciberataques en plataformas de blockchain y criptomonedas como mecanismo de evasión de sanciones, lo que permite a los adversarios obtener acceso no autorizado a las redes empresariales y robar fondos digitales.
"Los actores de la amenaza no han hecho ningún esfuerzo por cifrar u ofuscar ninguno de los binarios, lo que posiblemente indica que se trata de campañas a corto plazo y/o poco temor a la detección por parte de sus objetivos", afirman los investigadores.
Hace unas tres semanas atrás, se supo que Lazarus tenía como objetivo atacar a todos los proveedores de energía a nivel mundial. Sus tácticas de espionaje fueron expuestas por Symantec, propiedad de Broadcom y de AhnLab.