Cyberthreat.id – Peneliti keamanan dari Sentinel One mengungkapan, Grup APT yang disponsori Korea Utara Lazarus kini meniru Crypto.com dalam serangan phishing mereka menggunakan malware macOS untuk menargetkan para pengembang kripto dengan tujuan mencuri aset digital para korban.

Crypto.com adalah salah satu platform pertukaran cryptocurrency terkemuka di dunia. Perusahaan mendapat perhatian pada tahun 2021 ketika membeli dan mengganti nama arena Los Angeles Staples Center menjadi 'Crypto.com Arena' dan memulai serangkaian iklan TV yang mempromosikan layanan tersebut.

Dikutip dari Bleeping Computer, dalam laporan terbarunya, para peneliti mengatakan jika Lazarus biasanya mendekati target mereka melalui LinkedIn, mengirimi mereka pesan langsung untuk memberi tahu mereka tentang lowongan pekerjaan yang menguntungkan di sebuah perusahaan besar.

Seperti kampanye macOS sebelumnya, peretas mengirim biner macOS yang menyamar sebagai PDF berisi file PDF 26 halaman bernama 'Crypto.com_Job_Opportunities_2022_confidential.pdf' yang berisi dugaan lowongan pekerjaan di Crypto.com. Di latar belakang, biner Mach-O membuat folder ("WifiPreference") di direktori Perpustakaan pengguna dan menjatuhkan file tahap kedua dan ketiga.

Tahap kedua adalah "WifiAnalyticsServ.app" yang memuat agen persistensi ("wifianalyticsagent"), yang akhirnya terhubung ke server C2 di "market.contradecapital[.]com" untuk mengambil muatan akhir, "WiFiCloudWidget."

Peneliti keamanan tidak dapat mengambil muatan akhir untuk analisis karena C2 sedang offline pada saat penyelidikan. Namun, mereka memperhatikan karakteristik yang mengarah ke operasi berumur pendek, yang khas untuk kampanye 'Operasi Dalam persepsi'.

"Aktor ancaman tidak melakukan upaya untuk mengenkripsi atau mengaburkan biner mana pun, mungkin menunjukkan kampanye jangka pendek dan/atau sedikit ketakutan akan deteksi oleh target mereka," jelas Sentinel One dalam laporan mereka.

Peneliti menilai, kemungkinan besar Lazarus akan segera beralih untuk meniru perusahaan yang berbeda sambil menjaga elemen serangan lainnya sebagian besar tidak dimodifikasi. Menurut mereka, perusahaan Cryptocurrency adalah target populer untuk kelompok peretasan yang disponsori negara Lazarus Korea Utara, yang diyakini bertanggung jawab atas pencurian lebih dari $600 juta dalam cryptocurrency.

Seperti diketahui, Lazarus pertama kali menargetkan pengguna cryptocurrency dengan menyebarkan dompet cryptocurrency tertrojanisasi dan aplikasi perdagangan yang mencuri kunci pribadi orang dan menguras kepemilikan mereka.

Pada bulan April, Departemen Keuangan AS dan FBI menghubungkan grup Lazarus dengan serangan siber yang mencuri token Ethereum dan USDC senilai lebih dari $617 juta dari game berbasis blockchain Axie Infinity.

Kemudian terungkap bahwa peretasan Axie Infinity dimungkinkan karena file PDF dicampur yang berisi tawaran pekerjaan yang menguntungkan yang dikirim ke salah satu insinyur blockchain.