Les hackers de Lazarus propagent le virus dans les emplois de crypto

Temps de lecture :2 Minutes, 46 Secondes

Connu comme Lazare, le groupe de piratage nord-coréen est un gros problème pour les autorités du monde entier. Dans un cas récent rapporté par Bleeping Computer, le groupe est utiliser les offres d’emploi Crypto.com pour diffuser des logiciels malveillants axés sur les systèmes macOS.

LA Crypto.com est l’une des principales plateformes de crypto-monnaie au monde, populaire dans le monde entier et avec des millions d’utilisateurs. La société a même acheté le stade du Los Angeles Staples Center et a changé le nom en Crypto.com Arena.

Avec cela, le nom Crypto.com est devenu suffisamment connu pour être la pièce maîtresse de l’arnaque de Team Lazarus. Le groupe de hackers mène une campagne baptisée « Opération In(ter)ception » depuis au moins 2 ans. Les principales cibles de cette arnaque sont les personnes travaillant dans l’industrie de la crypto-monnaie.

Réduisez vos frais d’échanges
Les frais d’échanges peuvent représenter plusieurs centaines de dollars chaque année. Pour cette raison, les bons tradeurs cherchent à les réduire car ils peuvent impacter fortement leurs résultats. Vous aussi vous pouvez le faire grâce aux liens ci-dessous :

Attaquer les offres d’emploi utilisées dans le secteur de la crypto-monnaie

Le principal vecteur de l’attaque est l’utilisation de logiciels malveillants pour infecter les ordinateurs des victimes. Avec cela, le groupe essaie de tromper les cibles en ouvrant des fichiers malveillants qui infectent les systèmes avec des logiciels malveillants qui peuvent être utilisés pour violer les réseaux internes des sociétés de crypto-monnaie pour voler de grandes quantités de cryptos, de NFT, faire de l’espionnage ou compromettre des documents importants.

Une attaque a déjà été détectée ciblant les employés informatiques avec des offres d’emploi se faisant passer pour des postes vacants chez Coinbase, mais propageant en fait des logiciels malveillants pour Windows et macOS. Après la campagne utilisant le nom Coinbase, l’appât était désormais Crypto.com.

Lazarus approche généralement ses cibles via LinkedIn, en leur envoyant un message direct pour les informer d’une ouverture d’emploi lucrative dans une grande entreprise.

Comme dans les campagnes précédentes axées sur les utilisateurs de Mac, les pirates ont envoyé un fichier binaire macOS se faisant passer pour un PDF de 26 pages appelé ‘Crypto.com_Job_Opportunities_2022_confidential.pdf’ qui contient des offres d’emploi présumées sur Crypto.com.

PDF diffusé par des pirates se faisant passer pour des offres d’emploi. Source : Ordinateur Bleeping/Sentinel One

Après avoir ouvert le fichier, le logiciel malveillant crée de nouveaux dossiers et télécharge des codes sur les ordinateurs des victimes, affectant le système et se propageant à d’autres ordinateurs connectés au réseau, même via Wi-Fi.

Cela montre clairement que Lazarus se concentre sur l’infection des ordinateurs connectés aux réseaux d’entreprise, pour augmenter les dégâts.

Fichiers créés par des logiciels malveillants sur le système macOS des victimes. Source : Ordinateur Bleeping/Sentinel One

Les chercheurs ont remarqué des caractéristiques qui pointent vers une fonctionnement de courte durée.

« Les agents du groupe de piratage n’ont fait aucun effort pour crypter ou obscurcir aucun des binaires, indiquant peut-être des campagnes à court terme et/ou peu de crainte d’être détectés par leurs cibles », explique Sentinel One dans son rapport.

Le groupe Lazarus est connu pour attaquer de grandes entreprises et, selon des rapports de chercheurs, il est financé par la Corée du Nord, soupçonné d’utiliser les valeurs volées dans les crypto-monnaies pour aider le pays à contourner les sanctions imposées par le Nord. ETATS-UNIS.

On pense que Lazare est responsable du vol de plus de 600 millions de dollars de crypto-monnaies.

Voir l’article original sur livecoins.com.br