Для новой фишинговой кампании достаточно одного наивного сотрудника, чтобы получить доступ ко всей сети организации.
https://www.securitylab.ru/upload/ib...73d5b3d3b6.jpg
Обнаружена новая фишинговая кампания известной северокорейской группировки Lazarus, в ходе которой хакеры выдают себя за представителей платформы Coinbase, чтобы атаковать сотрудников финтех-индустрии.
Киберпреступники через LinkedIn предлагают жертвам работу и предварительное собеседование, используя методы социальной инженерии. Участники группы нацелены на кандидатов, подходящих на должность «Инженерный менеджер по безопасности продуктов». Исследователь безопасности из Malwarebytes Хоссейн Джази первый обнаружил кампанию и сообщил об этом в Twitter .
https://www.securitylab.ru/upload/im...t-img(272).png
Жертва должна скачать PDF-файл с информацией о вакансии, который является вредоносным исполняемым файлом со значком PDF. Файл называется «Coinbase_online_careers_2022_07.exe», и при его выполнении отображается PDF-документ, а также загружается вредоносная DLL.
https://www.securitylab.ru/upload/im...t-img(273).png
После запуска вредоносная программа использует GitHub в качестве сервера управления и контроля (Command and Control, C2) для получения команд для выполнения на зараженном устройстве. На данный момент нет информации о жертвах и затронутых организациях.
Lazarus использует аналогичные тактики и методы для заражения своих целей вредоносными программами, а инфраструктура отдельных фишинговых кампаний частично совпадает. Для проведения кампании Coinbase требуется всего один человек в компании, чтобы открыть PDF-файл и позволить хакерам получить первоначальный доступ к корпоративной сети.
Ранее Lazarus совершили крупнейший взлом в истории децентрализованных финансов и украли $625 млн. из игры Axie Infinity . Злоумышленникам удалось обмануть одного из старших инженеров Sky Mavis (компании-разработчика Axie Infinity) и заразить его компьютер вредоносным ПО, которое было вшито в PDF-файл с оффером от фиктивной компании.