Forskere advarer om, at Lazarus har udvidet sin kampagne ved at bruge falske jobs med kryptovalutabørser for at narre macOS-brugere til at downloade malware.
Bare i sidste måned observerede forskere Lazarus bruge Coinbase jobåbninger at narre macOS-brugere til at downloade malware. Nu siger SentinelOne, at den samme trusselsgruppe har udvidet sin phishing-kampagne til at omfatte jobopslag på en anden kryptovalutabørs, Crypto.com.
Ifølge SentinelOne-rapporten om det nye lokke til kryptojob, blev de yderligere ofre i første omgang kontaktet af Lazarus gennem LinkedIn-beskeder.
Lazarus er en avanceret vedvarende trussel (APT) gruppe med bånd til den nordkoreanske stat. SentinelOne påpegede, at angrebsgruppen har været målrettet cryptocurrency udvekslinger siden 2018, og har specifikt brugt falske cryptocurrency-udvekslingsjob som lokker siden 2020.
"Lazarus (alias Nukesped) trusselsaktør fortsætter med at målrette mod personer involveret i kryptovalutaudvekslinger," skrev SentinelOne-forskerne. "Dette har været et langvarigt tema, der går så langt tilbage som AppleJeus kampagner der begyndte i 2018."