Cercetătorii din echipa globală de cercetare și analiză a Kaspersky Lab (GReAT) au descoperit AppleJeus – o nouă operațiune a grupului Lazarus. Atacatorii au pătruns în rețeaua unei case de schimb de criptomonede folosind un program infectat cu un troian. Scopul atacului era să fure criptomonede de la victime. În afară de malware-ul pentru Windows, cercetătorii au reușit să identifice o versiune necunoscută până acum, care vizează platforma macOS.
Acesta este primul caz în care cercetătorii Kaspersky Lab au observat că celebrul grup Lazarus a distribuit malware pentru utilizatorii de macOS și este un semnal de alarmă pentru toți cei care folosesc acest sistem de operare pentru activități legate de criptomonede.
Pe baza analizei realizate de echipa GReAT, pătrunderea în infrastructura casei de schimb a început în momentul în care un angajat a descărcat o aplicație de pe un site care părea legitim, al unei companii care dezvoltă software pentru schimbul de criptomonede.
Codul aplicației nu pare suspect, cu excepția unei singure componente, cea de actualizare. În software-ul legitim, astfel de componente sunt folosite pentru a descărca noi versiuni ale programelor. În cazul AppleJeus, se comportă ca un modul aflat în recunoaștere: mai întâi colectează informații generale despre computerul pe care a fost instalat, apoi trimite aceste informații la serverul de comandă și control. Dacă atacatorii decid că merită să fie atacat acel computer, codul infectat revine sub forma unei actualizări. Aceasta instalează un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a început recent să-l refolosească. Pe baza indiciului respectiv, cercetătorii au avut un punct de plecare în atribuire. În momentul instalării, troianul Fallchill le oferă atacatorilor acces aproape nelimitat la computer, permițându-le să fure informații financiare valoroase sau să lanseze alte instrumente în acest scop.
Software atât pentru Windows cât și pentru macOS
Infractorii au dezvoltat software atât pentru Windows, cât și pentru platforma macOS. Ultima este, în general, mult mai puțin expusă la amenințări cibernetice, comparativ cu Windows. Funcționalitatea versiunilor pentru ambele platforme este exact aceeași.
Un alt lucru neobișnuit în legătură cu operațiunea AppleJeus este acela că, deși pare un atac asupra lanțului de furnizori, în realitate s-ar putea să nu fie așa. Producătorul schimbului de criptomonede care a fost folosit pentru a ataca victimele are un certificat digital valid și un domeniu care pare legitim. Însă – cel puțin pe baza informațiilor publice – cercetătorii Kaspersky Lab nu au putut să identifice o organizație reală la adresa menționată în informațiile din certificat.
„Am observat un interes tot mai mare al grupului Lazarus pentru piețele de criptomonede, la începutul anului 2017, atunci când soft-ul de mining de criptomonede Monero a fost instalat pe serverele unui operator Lazarus”, notează Vitaly Kamluk, Head of GReAT APAC la Kaspersky Lab. „De atunci, au fost descoperiți de mai multe ori vizând schimburile de criptomonede, alături de organizații financiare obișnuite. Faptul că au dezvoltat malware pentru a infecta utilizatorii de macOS, pe lângă cei de Windows și – cel mai probabil – au creat o companie de software falsă și un produs pentru a reuși să livreze acest malware, fără a fi detectat de soluțiile de securitate, înseamnă că văd un potențial de a realiza câștiguri mari și trebuie să ne așteptăm la alte cazuri similare pe viitor. Pentru utilizatorii de macOS, este un semnal de alarmă, mai ales dacă își folosesc Mac-urile pentru operațiuni cu criptomonede.”
Grupul Lazarus, cunoscut pentru atacurile sale complexe și legăturile cu Coreea de Nord s-a remarcat nu doar prin activitățile de spionaj și sabotaj cibernetic, ci și prin atacuri motivate de câștigul financiar. Mai mulți cercetători, inclusiv cei de la Kaspersky Lab, au raportat despre acest grup care a vizat bănci și alte organizații financiare mari.
Fii primul care află cele mai importante știri din domeniu cu aplicația DefenseRomania. Downloadează aplicația DefenseRomania de pe telefonul tău Android (Magazin Play) sau iOS (App Store) și ești la un click distanță de noi în permanență
Fiți la curent cu ultimele noutăți. Urmăriți DefenseRomania și pe Google News