Хакерская группировка Lazarus впервые создала macOS-малварь для атаки на криптовалютную биржу
Вредоносный код отсутствовал в исходной версии программы Celas Trade Pro. Хакеры загрузили малварь позднее при обновлении софта.
Исследовательский центр «Лаборатории Касперского» сообщил о новой атаке северокорейской группы киберпреступников Lazarus Group. В этот раз жертвой стала азиатская криптовалютная биржа. Кроме того, в операции, названной AppleJeus, впервые использовался вредонос для macOS.
Как произошла атака?
Хакеры получили доступ к бирже после того, как один из ее сотрудников загрузил на ПК под управлением Windows софт для торговли криптовалютой Celas Trade Pro с сайта Celas Limited. На первый взгляд сайт выглядел официальным, но после запуска программа запустила удаленно управляемый троян Fallсhill, который принято связывать с Lazarus после первого применения в 2016 году. Вредонос собирал и передавал данные о компьютере на сервер злоумышленников.
Однако кроме Windows-версии программы хакеры также разработали и версию для ОС от Apple. Малварь находилась в поддельной версии той же программы для торговли криптовалютой.
Почему антивирусы не заметили подделку Lazarus?
Специалисты «Лаборатории Касперского» рассказали, что вредоносный код не был вшит в исходную версию скачанного приложения. Малварь была загружена в измененном компоненте обновления программы позднее. Кроме того, приложение имело верифицированный цифровой сертификат, что позволило ему остаться незамеченным для защитного ПО. По данным исследователей, компании, на которую ссылается сертификат, никогда и не существовало.
Тот факт, что Lazarus разработали отдельное ПО для заражения пользователей macOS, и, скорее всего, создали целую поддельную компанию-разработчика, чтобы обойти радары защитных решений, говорит о том, что они видят в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше.
В компании добавили, что данная атака должна стать «сигналом тревоги» для пользователей macOS, торгующих на криптовалютных биржах.
«Лаборатория Касперского» не обнародовала название атакованной биржи, но в разговоре с изданием Bleeping Computer уточнила, что жертва находилась не в Южной Корее.
Группировке хакеров Lazarus приписывают масштабную атаку на Windows-компьютеры в мае 2017 года. С принципом действия атаки можно подробнее ознакомиться в нашем обзоре.
845 открытий845 показов
Хотели бы покушать пиццу за миллион? А миллиард? А если в долларах? Узнайте, как американец потратил на пиццу больше $1 млрд.
Пройдите тест и узнайте, помните ли вы Фидонет — веб-технологию, популярную в 1990-е. Мы выясним, неофит вы или глубокий интернет-старец. :)
Член Совфеда России Артём Шейкин предложил запустить в России аналог "китайского файрвола", чтобы ограничить доступ к запрещенным сайтам.
Максим Арокен делится советами с чего начать изучение веб-разработки, как не забросить в самом начале и какую дополнительную технологию изучить, чтобы легче находить заказы на фрилансе.