Le tristement célèbre acteur menaçant nord-coréen, Lazarus Group, a été vu en train d'essayer d'attirer les développeurs de chaînes de blocs avec de fausses offres d'emploi chargées de logiciels malveillants.
Les chercheurs en cybersécurité de Malwarebytes ont découvert une nouvelle campagne dans laquelle Lazarus assume l'identité (ouvre dans un nouvel onglet) de Coinbase, l'un des échanges de crypto-monnaie les plus importants et les plus populaires au monde.
Les criminels contactent ensuite les développeurs de la blockchain avec une offre d'emploi pour le poste de "Engineering Manager, Product Security" et mènent même quelques entretiens pour rendre l'ensemble de la campagne plus crédible. Cependant, à un moment donné, les attaquants partageront un fichier, apparemment un PDF, avec les détails du supposé poste de travail. Cependant, la seule chose que ce fichier a avec un PDF est l'icône, puisqu'il s'agit en fait d'un exécutable : Coinbase_online_careers_2022_07.exe. En plus du .exe, l'auteur de la menace déploiera également une DLL malveillante.
Abondance de fausses offres d'emploi
Ces fichiers seront ensuite liés à GitHub, qui sert de serveur de commande et de contrôle (C2), qui partage des instructions supplémentaires sur la meilleure façon d'infecter le terminal.
L'attaque des « fausses offres d'emploi » n'est pas nouvelle. En fait, le plus grand braquage de crypto de tous les temps, une attaque massive de 600 millions de dollars sur le pont Ronin, s'est produit de la même manière. L'un des développeurs de Ronin a été approché, via LinkedIn, par quelqu'un se faisant passer pour un chasseur de têtes à la recherche de développeurs de qualité.
De fil en aiguille, la victime a fini par télécharger un fichier PDF armé qui a finalement donné aux assaillants les clés du royaume Ronin.
Le FBI a également désigné le groupe Lazarus pour cette attaque. Que cela s'avère vrai ou non, cet acteur menaçant n'est pas étranger aux fausses offres d'emploi. Le groupe a déjà utilisé General Dynamics et Lockheed Martin dans le même but.
Lazarus attaque généralement les banques, les bourses de crypto-monnaie, les marchés NFT et parfois les personnes connues pour avoir un lourd sac de crypto-monnaies.
Via : Bleeping Computer (Ouvre dans un nouvel onglet)