A Coreia do Norte APT Lázaro está utilizando suas táticas antigas ao realizar uma campanha de ciberespionagem que visa engenheiros por meio de uma falsa oferta de emprego, na tentativa de distribuir malware para o macOS. O programa malicioso Mac utilizado nessa campanha tem como alvo computadores com chips da Apple e Intel.
Os pesquisadores da ESET Research Labs identificaram uma campanha divulgada em uma série de tweets na terça-feira. Nessa campanha, o Coinbase, um comerciante de criptomoeda, foi personificado em uma oferta de emprego fictícia para um gerente de engenharia de segurança de produtos.
Na campanha mais recente chamada Operação Dobrada In(ter)ception, foi identificado um arquivo executável para Mac assinado, que se disfarçava como uma descrição de trabalho para a Coinbase. Esse arquivo foi carregado para o VirusTotal do Brasil, conforme relatado por pesquisadores. O malware encontrado é capaz de rodar em processadores Intel e Apple Silicon. Ao ser executado, o arquivo libera três arquivos: um arquivo PDF falso chamado Coinbase_online_careers_2022_07.pdf, um pacote com um link para FinderFontsUpdater[.]app e um downloader chamado safarifontagent.
Similar ao Malware Anterior
O software malicioso é parecido com um arquivo encontrado pela ESET em maio, que apresentava um arquivo executável com uma assinatura falsa de uma vaga de emprego, foi desenvolvido para funcionar em dispositivos da Apple e Intel, e liberava um arquivo PDF falso, conforme indicado pelos pesquisadores.
Entretanto, o malware mais recente foi criado em 21 de julho, de acordo com seu registro de data e hora, indicando que se trata de algo recente ou uma versão modificada do malware anterior. Utiliza um certificado emitido em fevereiro de 2022 para um desenvolvedor chamado Shankey Nohria, que foi invalidado pela Apple em 12 de agosto, conforme relatado pelos pesquisadores. O aplicativo em questão não passou por autenticação.
A versão do Windows do malware da Operação In(ter)ception, que foi descoberta em 4 de agosto pelo pesquisador de inteligência de ameaças Jazi da Malwarebytes, apresenta um decoy semelhante ao anterior. Isso foi informado pela ESET.
O software malicioso empregado na campanha se conecta a uma infraestrutura de comando e controle (C2) distinta daquela utilizada pelo malware encontrado em maio, em https:[/]concrecapital[.]com/%user%[.]jpg, que não apresentou resposta ao ser acessado pelos pesquisadores.
Lázaro libre
Lázaro, um grupo cibernético da Coreia do Norte, é amplamente reconhecido como um dos APTs mais ativos e já está sob investigação pelas autoridades internacionais, tendo sido alvo de sanções pelo governo dos Estados Unidos em 2019.
Lázaro é famoso por direcionar estudiosos, jornalistas e trabalhadores de diferentes setores, principalmente da indústria de defesa, com o objetivo de obter informações e recursos financeiros para o governo de Kim Jong-un. Ele costuma utilizar estratégias de falsa identidade, semelhantes às observadas na Operação In (ter)ception, para tentar enganar suas vítimas e fazê-las baixar malware.
Uma campanha anterior descoberta em janeiro direcionou os engenheiros que procuram emprego, oferecendo oportunidades de trabalho falsas em um esquema de phishing. Os ataques empregaram o Windows Update como uma tática evasiva e o GitHub como um servidor de comando e controle.
Enquanto isso, no ano passado foi encontrada uma campanha parecida na qual Lázaro se passava por empreiteiros de defesa da Boeing e General Motors, alegando estar em busca de candidatos, mas na verdade disseminando documentos maliciosos.
Alterando a direção para cima.
No entanto, em tempos mais recentes, Lázaro mudou suas estratégias, com as autoridades federais revelando que ele também tem realizado uma série de roubos cibernéticos com o objetivo de financiar o regime de Jong-un.
Em relação a essa atividade, o governo dos Estados Unidos impôs sanções ao serviço de mistura de criptomoedas Tornado Cash por colaborar com Lazarus na lavagem de dinheiro proveniente de suas atividades cibercriminosas, que acreditam estar sendo usadas em parte para financiar o programa de mísseis da Coreia do Norte.
Lázaro chegou a envolver seu dedo do pé em ransomware durante suas atividades frenéticas de ciberextorsão. No mês de maio, especialistas da empresa de segurança cibernética Trellix vincularam o ransomware VHD, que surgiu recentemente, ao grupo APT norte-coreano.
Divulgue este artigo.
- Poder executivo de um país.
- Texto: Recortes
