Работающая в сфере кибербезопасности компания SentinelOne объявила, что хакеры группировки Lazarus используют поддельные документы о вакансиях в сингапурской криптовалютной бирже Crypto.com. Они рассылают фишинговые рассылки с вакансиями и, если пользователь проявил интерес, пытаются заразить его компьютер.
По данным аналитиков SentinelOne, хакеры Lazarus использовали то же вредоносное ПО, что и при аналогичной атаке, когда пользователей завлекали вакансиями на бирже Coinbase. Для этого злоумышленники предоставляют PDF-файл с качественным дизайном и списком вакансий. Затем жертвам рассылается исполняемый файл Mach-O, который устанавливает агента на ПК пользователей. Данный агент скачивает и устанавливает уже само вредоносное ПО. Пока неизвестно, что именно делает вирус, но, вполне вероятно, что крадет персональные данные пользователей, адреса и пароли от криптовалютных кошельков, данные кредитных карт и так далее.
Ранее сообщалось, что хакеры Lazarus крадут резюме пользователей в социальной сети LinkedIn и пытаются устроиться в различные криптовалютные компании. В случае успеха и получения доступа к системам компаний злоумышленники пытаются получить инсайдерскую информацию и создать бэкдоры, которые позволят использовать эти платформы позднее.