Les pirates nord-coréens ciblent d’énormes échanges cryptographiques – les fonds des utilisateurs sont-ils en sécurité ?
Les pirates nord-coréens tentent d'attirer des experts en crypto -monnaie via de fausses offres d'emploi pour la plate-forme d'échange de crypto Coinbase.
Comme le rapporte Bleeping Computer , une campagne orchestrée par le célèbre groupe de piratage nord-coréen Lazarus a été découverte, et sa cible est celle des personnes impliquées dans l'industrie fintech (technologie financière) de plus en plus populaire.
Dans ce qui fait clairement partie d'une attaque d'ingénierie sociale, le groupe de piratage engage une conversation avec des cibles via LinkedIn, ce qui aboutit finalement à la présentation d'une offre d'emploi à la victime potentielle.
Coinbase est une société d'échange de crypto-monnaie de premier plan, donc, à première vue, beaucoup de ceux qui ne sont pas au courant de l'attaque seront naturellement intéressés à les ajouter à leur CV. Cependant, si l'attaque devait réussir, les conséquences pourraient entraîner la saisie et le vol de quantités incalculables de portefeuilles cryptographiques.
Hossein Jazi, qui travaille comme chercheur en sécurité pour la société de sécurité Internet Malwarebytes et analyse Lazarus depuis février 2022, a déclaré que des individus du cybergang se faisaient passer pour des employés de Coinbase. L'escroquerie attire des victimes potentielles en les approchant pour remplir le rôle de « responsable de l'ingénierie, sécurité des produits ».
Si cette personne tombe dans le piège de la fausse offre d'emploi, elle recevra éventuellement des instructions pour télécharger un PDF expliquant le travail dans son intégralité. Cependant, le fichier lui-même est en fait un exécutable malveillant utilisant une icône PDF pour tromper les gens.
Le fichier lui-même s'appelle "Coinbase_online_careers_2022_07.exe", ce qui semble assez innocent si vous ne le saviez pas mieux. Mais alors qu'il ouvre un faux document PDF créé par les acteurs de la menace, il charge également des codes DLL malveillants sur le système de la cible.
Après avoir été déployé avec succès sur le système, le logiciel malveillant utilisera alors GitHub comme centre de commande central afin de recevoir des commandes, après quoi il aura libre cours pour mener des attaques sur les appareils qui ont été piratés.
Les services de renseignement américains ont déjà émis des avertissements concernant l'activité de Lazarus dans l'émission de portefeuilles de crypto-monnaie et d'applications d'investissement infectées par des chevaux de Troie, leur permettant ainsi de voler des clés privées.
Et les efforts du groupe ont été pour le moins lucratifs – le FBI a découvert qu'il avait volé une crypto-monnaie d'une valeur de plus de 617 millions de dollars à l'époque.
Cette attaque particulière, qui est liée à un jeu basé sur la blockchain, s'est matérialisée grâce à un autre fichier PDF trompeur, qui a été envoyé sous forme d'offre d'emploi à l'un des ingénieurs de la blockchain. Une fois le fichier ouvert, le système de l'individu a été infecté, ce qui a ensuite permis à Lazarus de localiser une faille de sécurité et d'en tirer un grand profit.
Dans tous les cas, la perspective est effrayante : ouvrir un seul fichier PDF entraînant la compromission de l'ensemble du réseau. Dans le cas de Coinbase, qui gère des milliards de dollars de transactions cryptographiques, on ne peut qu'imaginer quel serait le résultat et les ramifications financières si Lazarus parvenait effectivement à trouver un moyen d'entrer.
Pour le moment, si vous êtes approché par Coinbase à quelque titre que ce soit, il peut être judicieux de faire preuve de prudence avant d'ouvrir des fichiers.