Кибербойцы Ким Чен Ына нападают на желающих найти работу в IT

Чт 18 Август 2022 09:53

ESET связала атаки с вредоносной кампанией под названием "Operation In(ter)ception", которая была обнаружена в июне 2020 года. Тогда атаки базировались на социальной инженерии – под видом HR-менеджеров известных компаний аэрокосмической и оборонной промышленности (в том числе Collins Aerospace и General Dynamics) злоумышленники рассылали через LinkedIn фальшивые предложения о работе. Если с жертвой удавалось установить контакт, киберпреступники присылали связанные с предлагаемой вакансией документы, заражавшие сети компании вредоносным ПО.

Текущие атаки ничем не отличаются от Operation In(ter)ception, поскольку злоумышленники продолжают обманывать пользователей, распространяя вредоносное ПО, замаскированное под описание вакансий. Оказавшись в системе жертвы, вредонос выгружает три файла: фейковый PDF-документ ‘ Coinbase_online_careers_2022_07.pdf ’, пакет ‘ FinderFontsUpdater.app ’ и загрузчик ‘ safarifontagent ’.

И хотя Coinbase_online_careers_2022_07.pdf имеет расширение .pdf, он на самом деле является исполняемым файлом Mach-O, работающим в качестве дроппера для FinderFontsUpdater, который, в свою очередь, развертывает safarifontsagent – загрузчик, предназначенный для получения полезной нагрузки с сервера хакеров.

ESET заявила, что PDF-файл был подписан 21 июля с использованием сертификата, которы Apple выдала в феврале 2022 года разработчику по имени Шанки Нохрия. Впоследствии, 12 августа, Apple отозвала этот сертификат.

Кроме того, ИБ-специалисту Хоссейну Джази удалось выяснить, что вредонос является кроссплатформенным и использует аналогичный PDF-документ для распространения .exe-файла под названием ‘Coinbase_online_careers_2022_07.exe’.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 12 часов 57 минут 25 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.