AppleJeus: Grupul Lazarus vaneaza casele de schimb de criptomonede, folosind malware pentru macOS

Cercetatorii din echipa globala de cercetare si analiza a Kaspersky Lab (GReAT) au descoperit AppleJeus – o noua operatiune a grupului Lazarus. Atacatorii au patruns in reteaua unei case de schimb de criptomonede folosind un program infectat cu un troian. Scopul atacului era sa fure criptomonede de la victime. In afara de malware-ul pentru Windows, cercetatorii au reusit sa identifice o versiune necunoscuta pana acum, care vizeaza platforma macOS.

Acesta este primul caz in care cercetatorii Kaspersky Lab au observat ca celebrul grup Lazarus a distribuit malware pentru utilizatorii de macOS si este un semnal de alarma pentru toti cei care folosesc acest sistem de operare pentru activitati legate de criptomonede.

Pe baza analizei realizate de echipa GReAT, patrunderea in infrastructura casei de schimb a inceput in momentul in care un angajat a descarcat o aplicatie de pe un site care parea legitim, al unei companii care dezvolta software pentru schimbul de criptomonede.

Codul aplicatiei nu pare suspect, cu exceptia unei singure componente, cea de actualizare. In software-ul legitim, astfel de componente sunt folosite pentru a descarca noi versiuni ale programelor. In cazul AppleJeus, se comporta ca un modul aflat in recunoastere: mai intai colecteaza informatii generale despre computerul pe care a fost instalat, apoi trimite aceste informatii la serverul de comanda si control. Daca atacatorii decid ca merita sa fie atacat acel computer, codul infectat revine sub forma unei actualizari. Aceasta instaleaza un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a inceput recent sa-l refoloseasca. Pe baza indiciului respectiv, cercetatorii au avut un punct de plecare in atribuire. In momentul instalarii, troianul Fallchill le ofera atacatorilor acces aproape nelimitat la computer, permitandu-le sa fure informatii financiare valoroase sau sa lanseze alte instrumente in acest scop.

Infractorii au dezvoltat software atat pentru Windows, cat si pentru platforma macOS. Ultima este, in general, mult mai putin expusa la amenintari cibernetice, comparativ cu Windows. Functionalitatea versiunilor pentru ambele platforme este exact aceeasi.

Un alt lucru neobisnuit in legatura cu operatiunea AppleJeus este acela ca, desi pare un atac asupra lantului de furnizori, in realitate s-ar putea sa nu fie asa. Producatorul schimbului de criptomonede care a fost folosit pentru a ataca victimele are un certificat digital valid si un domeniu care pare legitim. Insa – cel putin pe baza informatiilor publice – cercetatorii Kaspersky Lab nu au putut sa identifice o organizatie reala la adresa mentionata in informatiile din certificat.

 „Am observat un interes tot mai mare al grupului Lazarus pentru pietele de criptomonede, la inceputul anului 2017, atunci cand soft-ul de mining de criptomonede Monero a fost instalat pe serverele unui operator Lazarus”, noteaza Vitaly Kamluk, Head of GReAT APAC la Kaspersky Lab. „De atunci, au fost descoperiti de mai multe ori vizand schimburile de criptomonede, alaturi de organizatii financiare obisnuite. Faptul ca au dezvoltat malware pentru a infecta utilizatorii de macOS, pe langa cei de Windows si – cel mai probabil – au creat o companie de software falsa si un produs pentru a reusi sa livreze acest malware, fara a fi detectat de solutiile de securitate, inseamna ca vad un potential de a realiza castiguri mari si trebuie sa ne asteptam la alte cazuri similare pe viitor. Pentru utilizatorii de macOS, este un semnal de alarma, mai ales daca isi folosesc Mac-urile pentru operatiuni cu criptomonede.”

Grupul Lazarus, cunoscut pentru atacurile sale complexe si legaturile cu Coreea de Nord s-a remarcat nu doar prin activitatile de spionaj si sabotaj cibernetic, ci si prin atacuri motivate de castigul financiar. Mai multi cercetatori, inclusiv cei de la Kaspersky Lab, au raportat despre acest grup care a vizat banci si alte organizatii financiare mari.

Pentru protectia utilizatorilor individuali si a companiilor de atacuri cibernetice complexe din partea unor grupuri precum Lazarus, expertii Kaspersky Lab recomanda urmatoarele:

  • Nu acordati automat incredere codului care ruleaza in sistemele pe care le detineti. Nici un site care pare autentic, nici un profil serios al companiei, nici certificatele digitale nu garanteaza absenta unor backdoor-uri.
  • Folositi o solutie de securitate eficienta, cu tehnologii de detectie a comportamentului periculos, care permit detectarea inclusiv a amenintarilor necunoscute anterior.
  • Inscrieti-va echipa de securitate a organizatiei la un serviciu de informatii de calitate despre amenintari pentru a avea acces rapid la date despre cele mai recente miscari in materie de tactici, tehnici si proceduri ale atacatorilor complecsi.
  • Folositi autentificare multi-factor si portofele hardware daca faceti tranzactii financiare semnificative. In acest scop, folositi, de preferinta, un computer izolat pe care nu navigati pe Internet si nu cititi e-mail-uri.

Cititi versiunea completa a raportului pe Securelist.com.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *