Северокорейская группа Lazarus ведет набор в команду экспертов на Coinbase

Обнаружена новая фишинговая кампания известной северокорейской группировки Lazarus, в ходе которой хакеры выдают себя за представителей платформы Coinbase, чтобы атаковать сотрудников финтех-индустрии.

Киберпреступники через LinkedIn предлагают жертвам работу и предварительное собеседование, используя методы социальной инженерии. Участники группы нацелены на кандидатов, подходящих на должность «Инженерный менеджер по безопасности продуктов». Исследователь безопасности из Malwarebytes Хоссейн Джази первый обнаружил кампанию и сообщил об этом в Twitter .

Жертва должна скачать PDF-файл с информацией о вакансии, который является вредоносным исполняемым файлом со значком PDF. Файл называется «Coinbase_online_careers_2022_07.exe», и при его выполнении отображается PDF-документ, а также загружается вредоносная DLL.

После запуска вредоносная программа использует GitHub в качестве сервера управления и контроля (Command and Control, C2) для получения команд для выполнения на зараженном устройстве. На данный момент нет информации о жертвах и затронутых организациях.

Lazarus использует аналогичные тактики и методы для заражения своих целей вредоносными программами, а инфраструктура отдельных фишинговых кампаний частично совпадает. Для проведения кампании Coinbase требуется всего один человек в компании, чтобы открыть PDF-файл и позволить хакерам получить первоначальный доступ к корпоративной сети.

Ранее Lazarus совершили крупнейший взлом в истории децентрализованных финансов и украли $625 млн. из игры Axie Infinity . Злоумышленникам удалось обмануть одного из старших инженеров Sky Mavis (компании-разработчика Axie Infinity) и заразить его компьютер вредоносным ПО, которое было вшито в PDF-файл с оффером от фиктивной компании.