image

Malafide vacatures voor cryptobeurs Crypto.com bevatten macOS-malware

woensdag 28 september 2022, 12:35 door Redactie, 1 reacties

Aanvallers maken gebruik van malafide vacatures voor cryptobeurs Crypto.com om macOS-gebruikers met malware te infecteren, zo stelt securitybedrijf SentinelOne. Eerder ontdekte antivirusbedrijf ESET een soortgelijke campagne, alleen dan met malafide vacatures voor cryptobeurs Binance.

Volgens SentinelOne is de Lazarus-groep verantwoordelijk voor de malware. Deze groep zou vanuit Noord-Korea opereren en wordt verantwoordelijk gehouden voor inbraken bij meerdere cryptobeurzen en cryptobedrijven, waarbij vele miljoenen dollars werden buitgemaakt. Potentiele doelwitten worden zeer waarschijnlijk via LinkedIn benaderd en krijgen vervolgens het malafide bestand toegestuurd.

De gebruikte bestanden zijn niet versleuteld of geobfusceerd om detectie of analyse te bemoeilijken. Dat suggereert volgens SentinelOne dat het mogelijk om een kortlopende campagne gaat of de aanvallers niet bang zijn dat hun doelwitten de aanval detecteren. Daarnaast zijn de bestanden "ad hoc" gesigneerd, waardoor ze door de controle van Apples Gatekeeper komen, ook al is het bestand niet gelinkt aan een ontwikkelaar voorzien van een door Apple uitgegeven ontwikkelaarscertificaat.

Eenmaal geopend krijgt het slachtoffer als afleiding een pdf-document met een vacature te zien. In de achtergrond wordt echter de malware geïnstalleerd. Deze malware kan aanvullende malware installeren en wacht op verdere instructies van de aanvallers. Eerder dit jaar maakte de Lazarus-groep gebruik van zogenaamde vacatures van Lockheed Martin. Deze tactiek blijkt succesvol. In 2020 werd bekend dat een niet nader genoemd cryptobedrijf het slachtoffer van een aanval was geworden nadat een systeembeheerder een malafide vacature van de Lazarus-groep had geopend.

Reacties (1)
28-09-2022, 21:24 door Anoniem
Iemand die weet of XProtect inmiddels wel ingrijpt? Ik kan er online eigenlijk niets over vinden..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.