Группировка Lazarus атаковала криптовалютную биржу с помощью Mac-зловреда

7:57, 24 августа. Автор: Новиков Сергей

Антивирусная компания «Лаборатория Касперского» сообщила об обнаружении её специалистами новой вредоносной операции известной группировки Lazarus. Атака получила название AppleJeus, и её целью стала криптовалютная биржа в Азии. В сеть жертвы злоумышленники проникли с помощью заражённого ПО для торговли криптовалютами. Примечательно, что атакующие использовали две версии зловреда: для Windows и для macOS. И это первый известный образец macOS-вредоноса в арсенале Lazarus.

Аналитики «Лаборатории Касперского» выяснили, что успеху атаки сопутствовал человеческий фактор. Ничего не подозревающий сотрудник компании-жертвы скачал стороннее приложение с сайта разработчика ПО для торговли криптовалютами. Сайт при этом выглядел вполне легитимно.

Код приложения, оказавшегося вредоносным, в целом не вызывает подозрений, за исключением одного компонента, отвечающего за обновления. В легитимном ПО подобные модули используются для загрузки новых версий программы. Однако в случае AppleJeus этот компонент применялся для «разведки» и сбора информации: программа собирала базовые данные о компьютере, отправляла их злоумышленникам, и, если те решали, что жертва им интересна, загружала вредоносный код под видом обновления. Зловред, попадавший на заражённые компьютеры, оказался хорошо известен исследователям: это троянец Fallchill – старый инструмент Lazarus, к которому группировка недавно решила вернуться. Именно этот факт и позволил аналитикам сделать предположение, кто стоит за атакой AppleJeus.

После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развёртывать дополнительные инструменты в зависимости от цели и обстоятельств. Ситуация осложняется ещё и тем, что в новой атаке злоумышленники решили не ограничиваться только привычной платформой Windows и создали идентичную версию троянца для операционной системы macOS, которая традиционно считалась менее подверженной кибератакам (по сравнению с Windows).

Внимание исследователей также привлекла ещё одна особенность AppleJeus. На первый взгляд операция выглядит как атака на поставщика (когда намеренно заражаются сторонние организации, предоставляющие потенциальным жертвам услуги или продукты), но в действительности она, скорее всего, ей не является. Разработчик ПО для торговли криптовалютами, который был выбран для доставки зловреда на компьютеры жертв, имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Однако, изучив публично доступную информацию, эксперты «Лаборатории Касперского» не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

← Корпоративные продажи в «Эльдорадо» выросли вдвое Официально анонсирован Android Go смартфон Samsung Galaxy J2 Core →

безопасность криптовалюта Лаборатория Касперского