El Lazarus APT de Corea del Norte apunta al chip M1 de Apple



La amenaza persistente avanzada (APT) norcoreana Lazarus está lanzando una pink más amplia con su campaña Operation In(ter)ception en curso, dirigida a las Mac con el chip M1 de Apple.

El grupo patrocinado por el estado continúa con su enfoque favorito de lanzar ataques de phishing bajo la apariencia de oportunidades de trabajo falsas. Los investigadores de amenazas del proveedor de detección de puntos finales ESET advirtieron esta semana que descubrieron un ejecutable de Mac camuflado como una descripción de trabajo para un puesto de gerente de ingeniería en el well-known operador de intercambio de criptomonedas. foundation de monedas.

De acuerdo a Advertencia de ESET en Twitter, Lazarus subió la oferta de trabajo falsa a VirusTotal desde Brasil. Lazarus diseñó la última versión del malware, Interception.dll, para ejecutarse en Mac cargando tres archivos: un documento PDF con la publicación de trabajo falsa de Coinbase y dos ejecutables, FinderFontsUpdater.application y safarifontsagent, según la alerta. El binario puede comprometer las Mac con procesadores Intel y con el nuevo chipset M1 de Apple.

Los investigadores de ESET comenzaron a investigar Operación In(ter)cepción hace casi tres años cuando sus investigadores descubrieron ataques contra empresas aeroespaciales y militares. Determinaron que el objetivo principal de la campaña period el espionaje, aunque también encontraron casos en los que los atacantes usaron la cuenta de correo electrónico de una víctima a través de un compromiso de correo electrónico comercial (BEC) para completar la operación. El malware Interception.dll ofrece ofertas de trabajo convincentes pero falsas para atraer a víctimas desprevenidas, a menudo utilizando LinkedIn.

El ataque a Mac es el último de un aluvión continuo de esfuerzos de Lazarus para acelerar la Operación In(ter)ception, que se ha intensificado en los últimos meses. ESET publicado un libro blanco detallado sobre la táctica de Lazarus hace dos años.

Riesgo mitigado por Apple

Irónicamente, la atractiva publicación de empleo de Coinbase se dirige a personas con orientación técnica.

«Sospechamos que los atacantes estaban en contacto directo, por lo que probablemente se le indicó a la víctima que hiciera clic en cualquier ventana emergente que apareciera para ver la oferta del ‘trabajo soñado’ de Coinbase», explica Peter Kalnai, investigador senior de malware de ESET. Lectura oscura.

Apple revocó el certificado que permitiría la ejecución del malware a finales de la semana pasada después de que ESET alertara a la empresa sobre la campaña. Entonces, ahora, las computadoras con macOS Catalina v10.15 o posterior están protegidas, suponiendo que el usuario tenga conocimientos básicos de seguridad, señala Kalnai.

«El certificado ha sido revocado, por lo que no es posible ejecutarlo hasta que el usuario lo agregue a las aplicaciones permitidas», dijo. “Solo entonces esto sigue siendo una amenaza cuando los atacantes comienzan a ser lo suficientemente convincentes como para engañar a la víctima para que supere esos obstáculos con la ejecución. Además, cuando los atacantes se acercan a su víctima, muy probablemente verifiquen que el certificado no está revocado, y en caso de que es decir, pueden crear un nuevo certificado no revocado».

La campaña en curso y otras de Corea del Norte siguen siendo frustrantes para los funcionarios del gobierno. El FBI culpó a Lázaro por robar $625 millones en criptomoneda de Ronin Network, que opera una plataforma blockchain para el well-known juego NFT Axie Infinity.

Andrew Grotto, quien se desempeñó como director senior de política de seguridad cibernética en la Casa Blanca en las administraciones de Obama y Trump, dice que Corea del Norte pasó de ser un aspirante a antagonista a uno de los actores de amenazas más agresivos del mundo.

«Corea del Norte ha podido adquirir habilidades que pueden ser necesarias para fabricar muy rápido», dice Grotto, quien ahora es director de la Centro de Seguridad y Cooperación Internacional de la Universidad de Stanford programa sobre geopolítica, tecnología y gobernanza. «Rápidamente emergieron como uno de los mejores, si no el mejor, operadores cibernéticos cuando se trata de delitos potenciales de alto nivel».





Enlace a la noticia authentic