Un groupe de pirates informatiques nord-coréens serait à l'origine d'une nouvelle campagne de logiciels malveillants qui utilise de fausses offres d'emploi sur LinkedIn pour attirer ses victimes.
Le groupe publie de faux emplois dans les secteurs des médias, de la technologie et du plaidoyer sous le couvert de recruteurs légitimes. Ils se sont même fait passer pour le New York Times dans une publicité.
La société de renseignement sur les menaces Mandiant (ouvre un nouvel onglet) a découvert que la campagne était en cours depuis juin 2022. Elle pense qu'elle est liée à une autre campagne de logiciels malveillants originaire de Corée du Nord, dirigée par le tristement célèbre et notoire groupe Lazarus, connu sous le nom de " Opération Dream Job". " qui viole les systèmes appartenant aux utilisateurs de crypto.
Phishing pour les victimes
Mandiant, pour sa part, pense que la nouvelle campagne provient d'un groupe distinct de Lazarus et est unique en ce que les logiciels malveillants TouchMove, SideShow et TouchShift n'ont jamais été utilisés dans des attaques auparavant.
Après qu'un utilisateur a répondu à l'offre d'emploi de LinkedIn, les pirates continuent le processus sur WhatsApp, où ils partagent un document Word contenant des macros dangereuses, qui installent des chevaux de Troie à partir de sites WordPress que les pirates ont piratés et utilisent comme centre de contrôle.
Ce cheval de Troie, basé sur TightVNC et connu sous le nom de LidShift, télécharge à son tour un plugin Notepad++ malveillant qui télécharge un malware connu sous le nom de LidShot, qui déploie ensuite la charge utile finale sur l'appareil : la porte furtive PlankWalk.
Après cela, les pirates utilisent un compte-gouttes de logiciels malveillants appelé TouchShift qui est caché dans un fichier binaire Windows. Cela charge de nombreux contenus malveillants supplémentaires, notamment TouchShot et TouchKey, respectivement un utilitaire de capture d'écran et un enregistreur de frappe, ainsi qu'un appel de charge utile TouchMove.
Il charge également une autre porte dérobée appelée SideShow, qui permet un contrôle de haut niveau sur le système hôte, comme la possibilité de modifier le registre, de modifier les paramètres du pare-feu et d'exécuter des charges utiles supplémentaires.
Les pirates ont également utilisé le logiciel malveillant CloudBurst sur des entreprises qui n'utilisaient pas de VPN, abusant du service de gestion des terminaux Microsoft Intune.
En outre, les pirates ont également exploité une faille zero-day dans le pilote ASUS "Driver7.sys", qui est utilisé par une autre charge utile appelée LightShow pour corriger les routines du noyau dans le logiciel de protection des terminaux afin d'éviter la détection. Ce bug a depuis été corrigé.