Les pirates informatiques ciblent des victimes potentielles avec des logiciels malveillants déguisés en fausses offres d’emploi, ont averti des experts en cybersécurité.
Des chercheurs d’ESET ont découvert que le groupe criminel Lazarus cible les utilisateurs de Linux prétendant envoyer des e-mails à des victimes qui travaillent dans les industries du logiciel ou de la plate-forme DeFi avec la promesse d’un nouveau rôle.
Cependant, les messages envoyés via LinkedIn ou d’autres plateformes de médias sociaux ne sont qu’un stratagème pour inciter les victimes à télécharger des logiciels malveillants.
Attaque de Lazare
Considéré comme affilié au gouvernement nord-coréen, Lazarus est devenu célèbre ces dernières années pour un certain nombre de campagnes de cybercriminalité ciblant des utilisateurs du monde entier.
Cela inclut Operation DreamJob, sa récente campagne qui a été lancée à la suite de la récente attaque de la chaîne d’approvisionnement contre le fournisseur de VoIP 3CX, dont les experts sont maintenant presque certains qu’elle a été menée par Lazarus.
Dans son rapport (s’ouvre dans un nouvel onglet) sur la campagne, ESET a expliqué comment les victimes étaient ciblées sur les réseaux sociaux et a demandé de télécharger des documents prétendant contenir des détails sur un nouveau poste proposé.
Dans son exemple, ESET a trouvé une archive ZIP nommée « offre d’emploi HSBC.pdf.zip » qui contient un fichier qui ressemble à première vue à un PDF, mais utilise en fait un caractère Unicode dans son nom comme un déguisement.
« L’utilisation du point de début dans le nom de fichier était probablement une tentative pour inciter le gestionnaire de fichiers à traiter le fichier comme un exécutable au lieu d’un PDF », a ajouté ESET. « Cela pourrait entraîner l’exécution du fichier lors d’un double-clic au lieu de l’ouvrir avec une visionneuse PDF. »
En cas de clic, le logiciel malveillant, nommé OdicLoader, affiche un faux PDF lors du téléchargement d’une charge utile en arrière-plan, qui, après un examen plus approfondi par ESET, cherche à cibler les machines virtuelles Linux VMware.
Les séquelles de l’attaque de mars 2023 contre 3CX continuent de secouer l’industrie technologique dans son ensemble. Des rapports récents suggèrent que Lazarus cible spécifiquement les sociétés de crypto-monnaie utilisant une version trojanisée de la plate-forme.
3CX compte plus de 12 millions d’utilisateurs quotidiens, avec des produits utilisés par plus de 600 000 entreprises dans le monde. Sa liste de clients comprend des entreprises et des organisations de premier plan comme American Express, Coca-Cola, McDonald’s, Air France, IKEA, le National Health Service du Royaume-Uni et plusieurs constructeurs automobiles, dont BMW, Honda, Toyota et Mercedes-Benz.