Le groupe Lazarus, soutenu par la Corée du Nord, lance des attaques via des logiciels malveillants capables de s’exécuter sur les Macs équipés de puces Intel et M1.
La société slovaque de cybersécurité ESET a établi un lien avec une campagne baptisée « Operation In(ter)ception« , qui a été divulguée pour la première fois en juin 2020.
La dernière attaque n’est pas différente dans la mesure où une description de poste pour la plateforme d’échange de crypto-monnaies Coinbase a été utilisée comme rampe de lancement pour déposer un exécutable Mach-O signé. L’analyse d’ESET provient d’un échantillon du binaire qui a été téléchargé sur VirusTotal depuis le Brésil le 11 août 2022.
« Le malware est compilé à la fois pour le macs M1 et Intel et d’Apple« , a déclaré l’entreprise dans une série de tweets. « Il dépose trois fichiers : un document PDF leurre ‘Coinbase_online_careers_2022_07.pdf’, un bundle ‘FinderFontsUpdater.app’ et un téléchargeur ‘safarifontagent’. »
Le fichier leurre, bien que portant l’extension .PDF, est en réalité un exécutable Mach-O qui fonctionne comme un dropper pour lancer FinderFontsUpdater, qui, à son tour, exécute safarifontsagent, un téléchargeur conçu pour récupérer les charges utiles suivantes sur un serveur distant.
ESET a déclaré que le leurre a été signé le 21 juillet à l’aide d’un certificat délivré en février 2022 à un développeur nommé Shankey Nohria. Apple a depuis pris des mesures pour révoquer le certificat le 12 août.
Il convient de noter que le malware est multiplateforme, car un équivalent Windows du même document PDF a été utilisé pour déposer un fichier .EXE nommé « Coinbase_online_careers_2022_07.exe » plus tôt ce mois-ci, comme l’a révélé Hossein Jazi, chercheur chez Malwarebytes.
Le Lazarus Group est devenu une sorte de comité d’expert lorsqu’il s’agit de se faire passer pour des représentants des RH sur les réseaux sociaux comme LinkedIn afin de cibler des entreprises présentant un intérêt stratégique.
Le mois dernier, il est apparu que le piratage d’Axie Infinity, d’une valeur de 620 millions de dollars, attribué au collectif, résultait du fait qu’un de ses anciens employés s’était fait duper par une offre d’emploi frauduleuse sur LinkedIn.