朝鲜支持的黑客组织Lazarus使用经过签名的macOS系统恶意可执行文件来冒充Coinbase职位列表并吸引金融技术领域的员工。Lazarus组织此前曾使用虚假的工作机会作为诱饵,在最近的一次活动中,该机构使用包含Coinbase工作细节的PDF文件进行传播。伪造的职位发布文件名为“Coinbase_online_careers_2022_07”。单击时,会显示一个如上所示的诱饵PDF文件,然后调用恶意DLL,最终允许威胁参与者向受影响的设备发送命令。ESET的网络安全专家表示,黑客已准备好攻击macOS系统。专家表示,英特尔和AppleSiliconMac都受到了影响,这意味着新旧设备都可能成为黑客的目标。在Twitter上的一篇帖子中,恶意文件投放了3个与FinderFontsUpdater.ap下载程序safarifontagent捆绑在一起的文件,以及一个名为“Coinbase_online_careers_2022_07”的诱饵PDF。ESET将最近的macOS恶意软件与OperationIn(ter)ception联系起来,也被认为是Lazarus的作品,它以类似的方式攻击著名的航空航天和军事组织。查看macOS恶意软件,研究人员注意到它是在7月21日签署的(基于时间戳值),并在2月向开发人员颁发了证书,使用名称ShankeyNohria和团队标识符264HFWQH63。截至8月12日,该证书尚未被苹果吊销。但是,该恶意应用程序并未经过公证,这是Apple用于检查软件是否存在恶意组件的自动化过程。与之前归因于Lazarus黑客组织的macOS恶意软件相比,ESET研究人员观察到下载器组件连接到不同的命令和控制(C2)服务器,该服务器在分析时不再响应。朝鲜黑客组织长期以来一直与加密货币黑客攻击和在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。
