Los mineros de Bitcoin están siendo aprovechados por hackers vinculados a Corea del Norte.
Hossein Jazi, que trabaja con Malwarebytes, tuiteó sobre el intento. Parece que utiliza un PDF que contiene información de un trabajo que no existe en Coinbase y se refiere como “gerente de ingeniería, seguridad del producto.”
El archivo esconde un software malicioso que infectará el PC de la víctima.
Los actores del Grupo Lazarus han experimentado con técnicas similares en el pasado.
En su informe, Jazi y su colega Ankur Saini relataron un ataque de spear-phishing que la banda había realizado en enero.
Descubrieron dos documentos falsificados pertenecientes a Lockheed Martin.
Los dos individuos se refirieron a “un uso inventivo de Windows Update para ejecutar la carga útil del malware mientras utilizaban GitHub como sitio de comando y control”.
Según Hossein, las dos campañas utilizaban una arquitectura de ataque idéntica o comparable.
Durante el mes de marzo, los actores asociados al Grupo Lazarus enviaron un documento a los destinatarios en el que ofrecían un puesto de director de ingeniería en el astillero General Dynamics Electric Boat.
La operación In(ter)caption, que ESET desveló en el año 2020, puede compararse con estas campañas.
Como parte de esta operación, los malos actores enviaron mensajes de phishing de LinkedIn que contenían falsas ofertas de trabajo a los destinatarios previstos. Los enlaces a los archivos maliciosos podían encontrarse en los correos electrónicos o en el OneDrive de LinkedIn.
Según ESET, una vez abierto el archivo, se mostraba un PDF con información sobre la remuneración de la oferta de trabajo fraudulenta. El malware se instalaba secretamente en el PC de la víctima sin su conocimiento. Como resultado, los adversarios fueron capaces de establecer un punto de apoyo en el sistema.