Lazarus, een hackersgroep uit Noord-Korea, heeft volgens recentelijke rapporten zijn pijlen gericht op de bekende cryptocurrency-beurs Crypto.com.
Volgens de bevindingen van Sentinel One is de malwarecampagne erin geslaagd om meer dan 100 gebruikers te infecteren. Het gedownloade PDF-document bevat een link die bezoekers naar een Google Docs-bestand leidt dat wordt gehost op een server in Canada. Vacatures bij Crypto.com zoals een Art Director positie in Singapore, worden geadverteerd via advertenties in het PDF document.
Als een werkzoekende klikt op een link voor een PDF functiebeschrijving, kan hij onbedoeld malware downloaden die zijn persoonlijke gegevens of bankgegevens kan stelen. Bij een andere operatie stuurde Lazarus in augustus direct message vacatures op LinkedIn naar mensen van wie ze dachten dat ze mogelijk geïnteresseerd waren om te werken als Engineering Managers voor Coinbase’s Product Security teams.
PDF document van 26 pagina’s
Drie bestanden met het virus waren gebundeld. En volgens cyberbeveiligingsbedrijf ESET was het geplaatst als CV voor een baan bij Coinbase. Hoewel de uiteindelijke doelen van de groep onduidelijk zijn, wordt het verkrijgen van toegang tot cryptocurrency en gegevens gezien als een grote zorg.
Een LinkedIn bericht van Lazarus biedt de ontvanger een goedbetaalde baan aan bij een groot bedrijf. De hackers gebruikten dezelfde techniek als eerdere macOS-aanvallen, door een binair bestand te sturen dat zich voordeed als een 26 pagina’s tellend PDF-bestand genaamd “Crypto.com Job Opportunities 2022 confidential.pdf,” waarin wordt beweerd dat er in 2022 openstaande banen zijn bij Crypto.com.
Er wordt sterk aangenomen dat Lazarus, een hackersgroep die financieel gesteund wordt door de Noord-Koreaanse regering, meerdere cryptocurrency-bedrijven heeft beroofd van meer dan 600 miljoen dollar. De hackgroep lijkt met deze actie dan ook aan te geven niet op korte termijn te willen stoppen.