Вредоносные программы криптовалюты хакерами из Северной Кореи нацелены на компьютеры MacOS

Глобальная группа исследования и анализа Kaspersky (GReAT) обнаружила новый тип вредоносного ПО, представляющего собой законное торговое приложение, но способного нанести ущерб и оставаясь незамеченным после заражения хост-компьютера. Предполагается, что преступники принадлежат к группе Lazarus, хакерскому коллективу, предположительно поддерживаемому правительством Северной Кореи, известному своими жестокими атаками, часто мотивированными финансовыми целями. Согласно GReAT, новое вредоносное ПО было создано исключительно для macOS, и оно нацелены на биржи криптовалют. Примечательно, что это первый раз, когда группа Lazarus разработала вредоносное ПО для экосистемы macOS, которое можно расшифровать как признак того, что группа теперь переходит на более широкий спектр целевых платформ. GreAT также считает, что существует вариант Linux с вредоносным ПО macOS под названием AppleJeus, что означает, что группа создает различные варианты своего вредоносного ПО для разных операционных систем в надежде на то, что операционные системы не будут мешать намеченным целям. Исследователи отметили, что это следует рассматривать как пробуждение для всех платформ, отличных от Windows — будь то macOS, Linux или любая другая ОС. Самым тревожным аспектом вредоносного ПО AppleJeus является то, что оно используется в легально выглядящем приложении для торговли криптовалютой под названием Celas Trade Pro. Издатель приложения имеет действующий цифровой сертификат и, казалось бы, законные записи о регистрации домена. Однако, проведя более глубокие исследования, исследователи Касперского обнаружили, что служебный адрес, указанный в цифровом сертификате, был поддельным. «Когда вы начинаете смотреть на кусочки за приложением, даже это начинает выглядеть все более и более нелегитимным», — говорит главный исследователь безопасности в «Касперском» Курт Баумгартнер. Несомненно, это открытие довольно проблематично, учитывая, что для обычного человека это практически невозможно Пользователь может обнаружить вредоносные программы, если они проталкиваются через приложения с действительными цифровыми сертификатами. Подразделение «Касперского» GreAT обнаружило так называемую операцию AppleJeus во время расследования нарушения в обмене криптовалютой. После дальнейшего анализа они смогли выяснить способ действия вредоносного ПО. Как уже говорилось ранее, вредоносное ПО AppleJeus совмещается с легально выглядящим приложением для криптовалюты Celas Trade Pro. Как только ничего не подозревающий пользователь загружает и устанавливает приложение только для macOS, оно запускает скрытый модуль «автообновления» в фоновом режиме. В стандартном приложении автообновление предназначено для поиска и установки более новых версий приложения без обязательного участия пользователя. Но в случае Celas Trade Pro автообновление начинает собирать информацию о хост-машине вскоре после ее активации. Затем она отправляет всю информацию, собранную с зараженного хост-компьютера, на сервер управления и контроля (C & C). поэтому преступники могут анализировать данные. Если хакеры решат, что на зараженный компьютер стоит обратить внимание, они направят приложение для установки другого обновленного приложения под названием FallChill, который представляет собой неприятный троян. После установки троянец FallChill обеспечивает практически неограниченный удаленный доступ к зараженной машине, который злоумышленники атакуют. может использовать для кражи конфиденциальных финансовых данных (или любых данных, которые они хотят).