黑客组织Lazarus冒充Coinbase 针对IT求职者发起攻击-品论天涯网

这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后，就会显示上图这样的诱饵PDF文件，然后就会调用恶意DLL，最终允许威胁攻击者向受影响的设备发送命令。

ESET的网络安全专家表示黑客已经做好攻击macOS系统的准备了。专家表示Intel和AppleSilicon的Mac均会受到影响，意味着无论新旧设备都可以成为黑客的攻击目标。

在Twitter上的一份帖子中，该恶意文件会释放3个文件

●捆绑的FinderFontsUpdater.app

●下载器safarifontagent

●一个称之为“Coinbase_online_careers_2022_07”的诱饵PDF文件。

ESET将最近的macOS恶意软件与OperationIn(ter)ception联系起来，后者也被认为是Lazarus的手笔，以类似的方式攻击知名航空航天和军事组织。

查看macOS恶意软件，研究人员注意到它是在7月21日签署的（根据时间戳值），并在2月份向开发人员颁发了证书，该证书使用名称ShankeyNohria和团队标识符264HFWQH63。

8月12日，该证书尚未被Apple吊销。但是，该恶意应用程序并未经过公证，这是Apple用于检查软件是否存在恶意组件的自动过程。

与之前归因于Lazarus黑客组织的macOS恶意软件相比，ESET研究人员观察到下载器组件连接到不同的命令和控制(C2)服务器，该服务器在分析时不再响应。长期以来，朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。