Le groupe de pirates nord-coréens Lazarus tente actuellement d’escroquer des personnes actives en fintech et en crypto-monnaies en se faisant passer pour un recruteur de Coinbase ou d’autres entreprises.
Lazarus est un groupe qui est depuis assez longtemps lié aux autorités nord-coréennes. Dans le cadre de sa toute dernière campagne, des adhérents du groupe se font passer pour des représentants de la plate-forme de crypto-monnaie Coinbase et s’adressent aux personnes actives dans le secteur financier ou ayant de l’expérience dans les crypto-espèces.
L’attaque débute souvent via LinkedIn, où la victime se voit proposer un emploi d’ingénieur ou d’expert en sécurité. Elle reçoit ensuite un PDF, alors que dans la pratique, il s’agit d’un fichier exécutable (.exe), accompagné du pictogramme d’un PDF qui semble renvoyer à un emploi, comme l’a découvert un collaborateur de Malwarebytes.
Un PDF comme dérivatif
La pratique n’est pas nouvelle, puisque précédemment, on a déjà eu droit à des tentatives similaires d’offres d’emploi au nom de General Dynamics ou de Lockheed Martin.
Quiconque ouvre le fichier, voit apparaître un faux PDF, selon Bleeping Computer mais entre-temps, un dangereux fichier DLL est également chargé. Il est ensuite possible de piloter l’appareil infecté à distance.
Lazarus alias The Lazarus Group est surtout connu du grand public pour le rançongiciel (‘ransomware’) Wannacry datant de 2017. Le groupe a généralement comme but de réaliser des gains financiers.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici