Les experts ont averti que le dangereux groupe Lazarus cible désormais les développeurs Web3 sur les appareils Mac.
L’acteur nord-coréen de la menace parrainé par l’État s’est récemment attaqué aux développeurs de blockchain avec de fausses offres d’emploi lucratives qui se sont avérées n’être rien de plus que des voleurs d’informations et des logiciels malveillants (s’ouvre dans un nouvel onglet).
Alors que ces attaques étaient initialement limitées aux utilisateurs de Windows, les chercheurs en cybersécurité d’ESET ont maintenant découvert qu’elles s’étendent également sur le territoire d’Apple.
Les puces Intel et Apple attaquées
La campagne est à peu près la même pour les deux plateformes. Le groupe se ferait passer pour Coinbase, l’un des échanges de crypto-monnaie les plus importants et les plus populaires au monde, et contacterait les développeurs de blockchain via LinkedIn et d’autres plateformes avec une offre d’emploi. Après un petit va-et-vient et quelques séries d' »entretiens », l’agresseur servait à la victime ce qui semble être un fichier .pdf avec les détails du poste.
Le nom du fichier est Coinbase_online_careers_2022_07, et bien qu’il ressemble à un .pdf (icône et tout), il s’agit en fait d’une DLL malveillante qui permet à Lazarus d’envoyer des commandes au terminal infecté. Le fichier est compilé pour les Mac équipés de processeurs Intel et Apple, ont découvert les chercheurs, suggérant que le groupe recherche à la fois des modèles d’appareils plus anciens et plus récents.
Détaillant l’attaque via Twitter, les chercheurs ont déclaré que le logiciel malveillant laissait tomber trois fichiers : le bundle FinderFontsUpdater.app, le téléchargeur safarifontagent et un leurre PDF appelé « Coinbase_online_careers_2022_07.pdf ».
Le groupe Lazarus n’est pas étranger aux attaques contre les fausses offres d’emploi, et il a mené ces attaques dans le passé avec beaucoup de succès. En fait, l’un des plus grands cambriolages de crypto-monnaie de l’histoire, l’attaque lourde de plus de 600 millions de dollars sur le pont Ronin, a été fait de cette manière exacte.
Après avoir contacté un ingénieur logiciel et l’avoir incité à télécharger le faux fichier .pdf, les attaquants de Lazarus se sont introduits dans le système, ont obtenu les informations d’identification nécessaires et ont détourné des millions de jetons de crypto-monnaie.
Dans ce cas, cependant, le logiciel malveillant a été signé le 21 juillet, avec un certificat délivré à un développeur du nom de Shankey Nohria. L’identifiant de l’équipe était 264HFWQH63. Alors que le certificat n’avait pas été révoqué le 12 août lors de sa vérification, BipOrdinateur rapports, les chercheurs ont découvert qu’Apple ne l’avait pas analysé à la recherche de composants malveillants.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)