تم اكتشاف حملة هندسة اجتماعية جديدة من قبل مجموعة لازاروس الكورية للقرصنة، حيث ينتحل المتسللون صفة Coinbase لاستهداف الموظفين في صناعة التكنولوجيا المالية.
التكتيك الشائع الذي تستخدمه مجموعة القرصنة هو الاقتراب من الأهداف عبر LinkedIn لتقديم عرض عمل وإجراء مناقشة أولية كجزء من هجوم الهندسة الاجتماعية.
وفقًا لحسين جازي، الباحث الأمني في Malwarebytes الذي يتابع نشاط Lazarus عن كثب منذ فبراير 2022، يتظاهر ممثلو التهديد الآن بأنهم من Coinbase، ويستهدفون المرشحين المناسبين لدور "مدير الهندسة، أمن المنتجات".
Coinbase هي واحدة من أكبر منصات تبادل العملات المشفرة في العالم ، مما يسمح لـ Lazarus بتمهيد الطريق لعرض عمل مربح ومغري في مؤسسة مرموقة.
عندما يقوم الضحايا بتنزيل ما يعتقدون أنه ملف PDF حول الوظيفة، فإنهم يحصلون بالفعل على ملف تنفيذي ضار باستخدام رمز PDF. في هذه الحالة ، يتم تسمية الملف "Coinbase_online_careers_2022_07.exe" ، والذي سيعرض مستند وهمي PDF الموضح أدناه عند تنفيذه أثناء تحميل ملف DLL ضار أيضًا.
بمجرد التنفيذ، ستستخدم البرامج الضارة GitHub كخادم أوامر وتحكم لتلقي أوامر للتنفيذ على الجهاز المصاب.
