Lazarus黑客组织冒充 Coinbase招聘攻击求职者

Lazarus黑客组织使用适用于 macOS 系统，并经过签名的恶意可执行文件，冒充Coinbase 招聘信息。通过这样的方法吸引金融技术领域的员工。此前， Lazarus曾使用虚假的工作机会诱骗求职者，在近期的网络攻击活动中， Lazarus黑客组织使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。

Coinbase_online_careers_2022_07，是个虚假的招聘信息文档。如果用户点击该文档，就会显示如上图的诱饵PDF文件，然后就会调用恶意 DLL，从而允许攻击者向受影响的设备发送命令。

据专家表示，黑客已经做好攻击 macOS 系统的准备。据悉，Intel 和 Apple Silicon 的 Mac 均会受到影响，不管新设备还是旧设备都可以成为黑客的攻击目标。

在推特上的一份帖子中，该恶意文件会释放 3 个文件：捆绑的 FinderFontsUpdater.app；下载器 safarifontagent；一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。

ESET 的网络安全专家认为，最近的 macOS 恶意软件与 Operation In(ter)ception都是 Lazarus 的手笔，因为该组织以类似的方式攻击知名航空航天和军事组织。

研究人员通过查看macOS 恶意软件，发现该恶意软件是在 7 月 21 日签署的，并在 2 月份向开发人员颁发了证书，该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。

该证书在8 月 12 日尚未被 Apple 吊销。但是，该恶意应用程序并未经过公证，这是Apple 用于检查软件是否存在恶意组件的自动过程。

和之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比，ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器，该服务器在分析时不再响应。一直以来，朝鲜黑客组织与加密货币黑客以及旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。

如何防范网络钓鱼?

1、不要点击电子邮件中的不明链接；

2、不要回复索取个人数据的电子邮件；

3、使用安全的网站，在信誉好的公司网站进行网上交易，输入身份资料和账户信息要慎重；

4、确保电脑安全，安装防火墙和杀毒软件，并定期更新杀毒软件。