Хакерская группировка Lazarus впервые создала macOS-малварь для атаки на криптовалютную биржу

Lazarus Group first macOS malware

Исследовательский центр «Лаборатории Касперского» сообщил о новой атаке северокорейской группы киберпреступников Lazarus Group. В этот раз жертвой стала азиатская криптовалютная биржа. Кроме того, в операции, названной AppleJeus, впервые использовался вредонос для macOS.

Как произошла атака?

Хакеры получили доступ к бирже после того, как один из ее сотрудников загрузил на ПК под управлением Windows софт для торговли криптовалютой Celas Trade Pro с сайта Celas Limited. На первый взгляд сайт выглядел официальным, но после запуска программа запустила удаленно управляемый троян Fallсhill, который принято связывать с Lazarus после первого применения в 2016 году. Вредонос собирал и передавал данные о компьютере на сервер злоумышленников.

Однако кроме Windows-версии программы хакеры также разработали и версию для ОС от Apple. Малварь находилась в поддельной версии той же программы для торговли криптовалютой.

Почему антивирусы не заметили подделку Lazarus?

Специалисты «Лаборатории Касперского» рассказали, что вредоносный код не был вшит в исходную версию скачанного приложения. Малварь была загружена в измененном компоненте обновления программы позднее. Кроме того, приложение имело верифицированный цифровой сертификат, что позволило ему остаться незамеченным для защитного ПО. По данным исследователей, компании, на которую ссылается сертификат, никогда и не существовало.

Тот факт, что Lazarus разработали отдельное ПО для заражения пользователей macOS, и, скорее всего, создали целую поддельную компанию-разработчика, чтобы обойти радары защитных решений, говорит о том, что они видят в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше.

Виталий Камлюк, глава отдела исследований и анализа «Лаборатории Касперского»

В компании добавили, что данная атака должна стать «сигналом тревоги» для пользователей macOS, торгующих на криптовалютных биржах.

«Лаборатория Касперского» не обнародовала название атакованной биржи, но в разговоре с изданием Bleeping Computer уточнила, что жертва находилась не в Южной Корее.

Группировке хакеров Lazarus приписывают масштабную атаку на Windows-компьютеры в мае 2017 года. С принципом действия атаки можно подробнее ознакомиться в нашем обзоре.

Источник: SecureList

Ещё интересное для вас:
— Биты, байты, Ада Лавлейс — тест на знание околоIT.
— Level Up — события и курсы, на которых можно поднять свой уровень.
— Работа мечты — лучшие IT-вакансии для вас.