La campaña "Operación DreamJob" de Lazarus se dirige a los usuarios de Linux
ESET ha descubierto una nueva campaña de Lazarus como parte de la "Operación DreamJob", marcando el primer caso de malware dirigido a usuarios de Linux y verificando la participación de Lazarus en el reciente asalto a la cadena de suministro del operador de VoIP 3CX.
La campaña "Operation DreamJob" de Lazarus, también conocida como Nukesped, es una operación continua dirigida específicamente a personas dedicadas al software o a los sistemas DeFi. Este asalto de ingeniería social funciona tentando a las víctimas con falsas ofertas de trabajo en sitios de redes profesionales como LinkedIn.
Los atacantes crean con pericia documentos falsos que parecen incluir descripciones minuciosas de los puestos de trabajo, pero que en realidad son archivos cargados de malware. Múltiples empresas fueron pirateadas como resultado del asalto porque habían instalado una versión troyanizada del cliente 3CX, lo que provocó el despliegue de troyanos que robaban información.
La investigación de ESET sobre el ataque de Lazarus centrado en Linux reveló que el actor de la amenaza distribuyó un archivo ZIP engañoso titulado "HSBC job offer.pdf.zip" a través de spearphishing o mensajes directos en LinkedIn. Este archivo contiene un binario Linux codificado en Go. Los actores maliciosos emplean un carácter Unicode en el nombre del archivo, disfrazándolo de PDF para engañar a las víctimas desprevenidas. ESET explica que el uso de un punto líder representado por el carácter Unicode U+2024 en el nombre del archivo fue probablemente un intento de engañar a los administradores de archivos para que trataran el archivo como un ejecutable en lugar de un PDF, haciendo que se ejecutara al hacer doble clic en lugar de abrirse con un visor de PDF.
Al ejecutar el archivo, el malware, denominado "OdicLoader", presenta un PDF señuelo para distraer a la víctima mientras inicia la descarga de una carga útil de malware de segunda fase desde un repositorio privado alojado en el servicio en la nube OpenDrive. La carga útil de segunda etapa, un backdoor C++ conocido como "SimplexTea", se descarga en la ubicación "~/.config/guiconfigd. SimplexTea". OdicLoader también altera el ~/.bash_profile del usuario para garantizar que SimplexTea se ejecuta con Bash, con su salida silenciada cada vez que se inicia una nueva sesión de shell.
Si se hace clic en él, el malware, denominado OdicLoader, muestra un PDF falso mientras descarga una carga útil en segundo plano que, tras un examen más detallado realizado por ESET, parece estar dirigida a máquinas virtuales Linux VMware.
Las fuentes de este artículo incluyen un artículo en WeLiveSecurity.