Hati-Hati! Hacker Korea Utara Targetkan Para Pencari Kerja

Hacker mengambil data pribadi korban.
Hacker mengambil data pribadi korban.
Sumber :
  • TechCrunch

VIVA Tekno – Lazarus Group, sekelompok hacker yang didukung oleh Korea Utara, dilaporkan tengah menarget para pencari kerja dengan malware yang mampu dijalankan di Apple Mac yang menggunakan chipset Intel dan M1.

Laporan ini ditunjukkan oleh perusahaan keamanan siber asal Slovakia, ESET, mengaitkannya dengan kampanye yang dijuluki "Operasi In(ter)ception" yang pertama kali diungkapkan pada Juni 2020 dan melibatkan penggunaan taktik rekayasa sosial untuk mengelabui karyawan yang bekerja di sektor kedirgantaraan dan militer agar membuka dokumen tawaran pekerjaan umpan, mengutip dari situs Thehackernews, Kamis, 18 Agustus 2022.

Serangan terbaru ini tidak berbeda dengan modus-modus sebelumnya, karena deskripsi pekerjaan untuk platform pertukaran cryptocurrency Coinbase digunakan sebagai landasan peluncuran untuk menjatuhkan executable Mach-O yang ditandatangani.

Analisis ESET berasal dari sampel biner yang diunggah ke VirusTotal dari Brasil pada 11 Agustus 2022.

"Malware dikompilasi untuk Intel dan Apple Silicon," kata perusahaan itu dalam serangkaian cuitan. "Ini menjatuhkan tiga file: dokumen PDF umpan 'Coinbase_online_careers_2022_07.pdf', bundel 'FinderFontsUpdater.app,' dan pengunduh 'safarifontagent.'"

File umpan tersebut, meskipun menggunakan ekstensi .PDF, pada kenyataannya adalah Mach-O yang berfungsi sebagai penetas untuk kemudian akan meluncurkan FinderFontsUpdater, yang, pada gilirannya, menjalankan safarifontsagent, pengunduh yang dirancang untuk mengambil muatan tahap berikutnya dari server jarak jauh.

ESET menyatakan bahwa iming-iming itu ditandatangani pada 21 Juli dengan menggunakan sertifikat yang dikeluarkan pada Februari 2022 kepada pengembang bernama Shankey Nohria, yang mana, sejak saat itu Apple telah mencabut sertifikat pada 12 Agustus.

Perlu dicatat bahwa malware ini bersifat lintas platform, karena Windows yang setara dengan dokumen PDF yang sama digunakan untuk menjatuhkan file .EXE bernama "Coinbase_online_careers_2022_07.exe" awal bulan ini, seperti yang diungkapkan oleh peneliti Malwarebytes Hossein Jazi.

Adapun, Grup Lazarus ini sebelumnya juga telah muncul sebagai ahli dalam hal menyamar sebagai perwakilan SDM di platform media sosial seperti LinkedIn untuk menargetkan perusahaan yang memiliki kepentingan strategis. Tepatnya, pada bulan lalu, telah terungkap bahwa peretasan Axie Infinity senilai US$620 juta atau sekitar Rp3.851 triliun yang dikaitkan dengan kolektif adalah hasil dari salah satu mantan karyawannya yang ditipu oleh tawaran pekerjaan palsu di LinkedIn.