De Noord-Koreaanse Lazarus hackersgroep probeert momenteel mensen actief in fintech en crytomunten op te lichten door zich voor te doen als een rekruteerder voor Coinbase of andere bedrijven.
Lazarus is een groep die al langer wordt gelinkt aan de Noord-Koreaanse overheid. In haar meest recente campagne doen mensen van de groep zich voor als iemand van cryptocurrencyplatform Coinbase en richten ze zich op mensen uit de financiële sector of met ervaring in cryptomunten.
De aanval begint vaak via LinkedIn waar het slachtoffer een job wordt aangeboden als ingenieur of security expert. Aanvullend krijgen ze zogezegd een PDF doorgestuurd, maar dat is in praktijk een uitvoerbaar bestand (.exe), maar wel met het pictogram van een PDF die lijkt naar een job te verwijzen, zo
ontdekte een medewerker van Malwarebytes.
PDF als afleiding
De praktijk is niet nieuw. Eerder zouden er al gelijkaardige pogingen zijn gebeurd met jobaanbiedingen namens General Dynamics of Lockheed Martin.
Wie het bestand toch opent krijgt volgens
Bleeping Computer alsnog een valse PDF te zien, maar intussen wordt er ook een gevaarlijk DLL-bestand geladen. Nadien is het mogelijk om het geïnfecteerd toestel van op afstand aan te sturen.
Lazarus of The Lazarus Group is bij het grote publiek vooral bekend van de ransomware Wannacry uit 2017. De groep is doorgaans uit op financieel gewin.