黑客组织Lazarus冒充Coinbase 针对IT求职者发起攻击

​有朝鲜背景的黑客黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件 ，冒充 Coinbase 招聘信息并吸引金融技术领域的组织e针职员工。Lazarus 组织此前就曾使用虚假的发起工作机会做诱饵 ，而在近期的攻击恶意活动中，该机构使用包含 Coinbase 职位详细信息的免费模板黑客 PDF 文件进行传播 。

这个虚假的组织e针职招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后，发起就会显示上图这样的攻击诱饵 PDF 文件，然后就会调用恶意 DLL，黑客最终允许威胁攻击者向受影响的组织e针职设备发送命令 。

ESET 的服务器租用发起网络安全专家表示黑客已经做好攻击 macOS 系统的准备了 。专家表示 Intel 和 Apple Silicon 的攻击 Mac 均会受到影响 ，意味着无论新旧设备都可以成为黑客的黑客攻击目标
。

在 Twitter 上的组织e针职一份帖子中，该恶意文件会释放 3 个文件

捆绑的发起 FinderFontsUpdater.ap下载器 safarifontagent一个称之为 “Coinbase_online_careers_2022_07”的源码库诱饵 PDF 文件
。

ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来
 ，后者也被认为是 Lazarus 的手笔 ，以类似的方式攻击知名航空航天和军事组织。

查看 macOS 恶意软件，研究人员注意到它是建站模板在 7 月 21 日签署的（根据时间戳值） ，并在 2 月份向开发人员颁发了证书 ，该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63 。

8 月 12 日 ，该证书尚未被 Apple 吊销 。但是，该恶意应用程序并未经过公证，这是云计算Apple 用于检查软件是否存在恶意组件的自动过程。

与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比，ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器，该服务器在分析时不再响应。长期以来，朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的香港云服务器网络钓鱼活动中使用虚假工作机会有关。