Forskere advarer om at Lazarus har utvidet kampanjen sin ved å bruke falske jobber med kryptovalutabørser for å lure macOS-brukere til å laste ned skadelig programvare.
Bare forrige måned observerte forskere at Lazarus brukte Coinbase ledige stillinger for å lure macOS-brukere til å laste ned skadelig programvare. Nå sier SentinelOne at den samme trusselgruppen har utvidet sin phishing-kampanje til å inkludere svindeljobbannonser på en annen kryptovalutabørs, Crypto.com.
Ifølge SentinelOne-rapporten om den nye lokke med kryptojobb, ble de ekstra ofrene opprinnelig kontaktet av Lazarus gjennom LinkedIn-meldinger.
Lazarus er en avansert vedvarende trusselgruppe (APT) med bånd til den nordkoreanske staten. SentinelOne påpekte at angrepsgruppen har vært målrettet cryptocurrency-utvekslinger siden 2018, og har spesifikt brukt falske kryptovalutautvekslingsjobber som lokker siden 2020.
"Lazarus (aka Nukesped) trusselaktøren fortsetter å målrette mot individer som er involvert i kryptovalutautveksling," skrev SentinelOne-forskerne. "Dette har vært et langvarig tema som går så langt tilbake som AppleJeus-kampanjer som begynte i 2018."