Support technique
Documentation
Connexion
Nous contacter
La campagne "Operation DreamJob" de Lazarus vise les utilisateurs de Linux
Le 22 mai 2023 - L'équipe de relations publiques de TuxCare
ESET a découvert une nouvelle campagne Lazarus dans le cadre de l'opération "DreamJob", ce qui constitue le premier cas de logiciel malveillant ciblant les utilisateurs de Linux et confirme la participation de Lazarus à la récente attaque de la chaîne d'approvisionnement contre l'opérateur VoIP 3CX.
La campagne "Operation DreamJob" de Lazarus, également connue sous le nom de Nukesped, est une opération continue qui cible spécifiquement les personnes travaillant dans le domaine des logiciels ou des systèmes DeFi. Cet assaut d'ingénierie sociale consiste à attirer les victimes avec de fausses offres d'emploi sur des sites de réseautage professionnel comme LinkedIn.
Les attaquants créent de manière experte de faux documents qui semblent contenir des descriptions de poste détaillées, mais qui sont en fait des fichiers chargés de logiciels malveillants. Plusieurs entreprises ont été piratées à la suite de cet assaut parce qu'elles avaient installé une version trojanisée du client 3CX, ce qui a entraîné le déploiement de chevaux de Troie voleurs d'informations.
L'enquête d'ESET sur l'attaque de Lazarus axée sur Linux a révélé que l'acteur de la menace a distribué une archive ZIP trompeuse intitulée "HSBC job offer.pdf.zip" par le biais de spearphishing ou de messages directs sur LinkedIn. Cette archive contient un binaire Linux codé en Go. Les acteurs malveillants utilisent un caractère Unicode dans le nom du fichier, le déguisant en PDF pour tromper les victimes peu méfiantes. ESET explique que l'utilisation d'un point de tête représenté par le caractère Unicode U+2024 dans le nom du fichier était probablement une tentative de tromper les gestionnaires de fichiers en traitant le fichier comme un exécutable plutôt que comme un PDF, ce qui fait qu'il s'exécute lors d'un double-clic au lieu de s'ouvrir avec une visionneuse PDF.
Lors du lancement du fichier, le logiciel malveillant, baptisé "OdicLoader", présente un PDF leurre pour distraire la victime tout en lançant le téléchargement d'une charge utile de seconde étape à partir d'un dépôt privé hébergé sur le service de cloud OpenDrive. La charge utile de deuxième étape, une porte dérobée C++ connue sous le nom de "SimplexTea", est déposée à l'emplacement "~/.config/guiconfigd. SimplexTea". OdicLoader modifie également le profil ~/.bash_profile de l'utilisateur pour s'assurer que SimplexTea est exécuté avec Bash et que sa sortie est mise en sourdine à chaque fois qu'une nouvelle session shell est lancée.
S'il est cliqué, le logiciel malveillant, nommé OdicLoader, affiche un faux PDF tout en téléchargeant une charge utile en arrière-plan qui, après un examen plus approfondi par ESET, semble cibler les machines virtuelles Linux VMware.
Les sources de cet article comprennent un article paru dans WeLiveSecurity.
