Onderzoekers waarschuwen dat Lazarus zijn campagne heeft uitgebreid met nepbanen met cryptocurrency-uitwisselingen om macOS-gebruikers te misleiden om malware te downloaden.
Vorige maand nog observeerden onderzoekers dat Lazarus gebruikte Coinbase vacatures om macOS-gebruikers te misleiden om malware te downloaden. Nu zegt SentinelOne dat dezelfde dreigingsgroep zijn phishing-campagne heeft uitgebreid met vacatures voor fraude-vacatures bij een andere cryptocurrency-uitwisseling, Crypto.com.
Volgens het SentinelOne-rapport over de nieuwe crypto-baan lokken, werden de extra slachtoffers in eerste instantie door Lazarus gecontacteerd via LinkedIn-berichten.
Lazarus is een geavanceerde persistente dreigingsgroep (APT) die banden heeft met de Noord-Koreaanse staat. SentinelOne wees erop dat de aanvalsgroep het doelwit was cryptocurrency-uitwisselingen sinds 2018, en gebruikt sinds 2020 specifiek valse cryptocurrency-uitwisselingsopdrachten als lokmiddel.
“De bedreigingsacteur van Lazarus (ook bekend als Nukesped) blijft zich richten op individuen die betrokken zijn bij cryptocurrency-uitwisselingen”, schreven de SentinelOne-onderzoekers. “Dit is een langlopend thema dat al teruggaat tot de AppleJeus-campagnes dat begon in 2018.”