Хакерская группировка Lazarus впервые создала macOS-малварь для атаки на криптовалютную биржу
Новости
Вредоносный код отсутствовал в исходной версии программы Celas Trade Pro. Хакеры загрузили малварь позднее при обновлении софта.
847 открытий854 показов
Исследовательский центр «Лаборатории Касперского» сообщил о новой атаке северокорейской группы киберпреступников Lazarus Group. В этот раз жертвой стала азиатская криптовалютная биржа. Кроме того, в операции, названной AppleJeus, впервые использовался вредонос для macOS.
Как произошла атака?
Хакеры получили доступ к бирже после того, как один из ее сотрудников загрузил на ПК под управлением Windows софт для торговли криптовалютой Celas Trade Pro с сайта Celas Limited. На первый взгляд сайт выглядел официальным, но после запуска программа запустила удаленно управляемый троян Fallсhill, который принято связывать с Lazarus после первого применения в 2016 году. Вредонос собирал и передавал данные о компьютере на сервер злоумышленников.
Однако кроме Windows-версии программы хакеры также разработали и версию для ОС от Apple. Малварь находилась в поддельной версии той же программы для торговли криптовалютой.
Почему антивирусы не заметили подделку Lazarus?
Специалисты «Лаборатории Касперского» рассказали, что вредоносный код не был вшит в исходную версию скачанного приложения. Малварь была загружена в измененном компоненте обновления программы позднее. Кроме того, приложение имело верифицированный цифровой сертификат, что позволило ему остаться незамеченным для защитного ПО. По данным исследователей, компании, на которую ссылается сертификат, никогда и не существовало.
Тот факт, что Lazarus разработали отдельное ПО для заражения пользователей macOS, и, скорее всего, создали целую поддельную компанию-разработчика, чтобы обойти радары защитных решений, говорит о том, что они видят в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше.
В компании добавили, что данная атака должна стать «сигналом тревоги» для пользователей macOS, торгующих на криптовалютных биржах.
«Лаборатория Касперского» не обнародовала название атакованной биржи, но в разговоре с изданием Bleeping Computer уточнила, что жертва находилась не в Южной Корее.
Группировке хакеров Lazarus приписывают масштабную атаку на Windows-компьютеры в мае 2017 года. С принципом действия атаки можно подробнее ознакомиться в нашем обзоре.
847 открытий854 показов