Zloglasna Lazarus grupa koristi MacOS malware u lovu na sisteme za razmenu kriptovaluta

Istraživači u timu za globalna istraživanja i analize u kompaniji Kaspersky Lab (Global Research and Analysis Team - GReAT) otkrili su AppleJeus - novu zlonamernu operaciju koju je pokrenula ozloglašena Lazarus grupa. Napadači su prodrli u sistem za razmenu kriptovaluta u Aziji koristeći trojanizovan softver za trgovanje kriptovalutama.

Cilj napada bio je da se žrtvama ukradu kriptovalute, a pored malicioznog softvera zasnovanog na Windowsu, istraživači su identifikovali i prethodno nepoznatu verziju koja je usmerena na MacOS platformu.

Ovo je prvi slučaj da su istraživači kompanije Kaspersky Lab primetili da ozloglašena Lazarus grupa distribuira malver koji cilja korisnike MacOS-a, a predstavlja alarm svima koji koriste ovaj sistem za aktivnosti u vezi sa kriptovalutama.

Na osnovu analize GReAT tima, prodor na infrastrukturu sistema za razmenu kriptovaluta je započeo kada je jedan od zaposlenih u kompaniji preuzeo aplikaciju treće strane sa veb sajta kompanije koja se bavi razvojem softvera za trgovanje kriptovalutama.

Sam kod aplikacije nije sumnjiv, sa izuzetkom jedne komponente – updater-a. U legitimnom softveru takve komponente se koriste za preuzimanje novih verzija programa. U slučaju AppleJeus-a, on deluje kao "izviđački" modul: najpre prikuplja osnovne podatke o računaru na koji je instaliran, zatim ih šalje nazad komandnom i kontrolnom serveru i, ako napadači odluče da je računar vredan napada, zlonamerni kod se vraća u obliku softver update-a. Maliciozni update zatim instalira trojanac poznat kao "Fallchill" - već korišćen, stari alat koj Lazarus grupa odnedavno ponovo koristi. Ova činjenica je istraživačima obezbedila osnov za sumnju. Nakon instalacije, Fallchill Trojan pruža napadačima gotovo neograničen pristup napadnutom računaru, omogućavajući im krađu dragocenih finansijskih informacija ili upotrebu dodatnih alata u te svrhe.

Situaciju je pogoršala činjenica da su kriminalci razvili softver za Windows, kao i MacOS platformu, koja je generalno mnogo manje izložena sajber pretnjama od Windows-a. Funkcionalnost obe verzije malvera je potpuno ista.

Grupa Lazarus, poznata po svojim sofisticiranim operacijama i povezanosti sa Severnom Korejom, svoju reputaciju stekla je ne samo zbog sajberšpijunaže i sajbersabotaže, već i zbog finansijski motivisanih napada. Veliki broj istraživača, uključujući i one u kompaniji Kaspersky Lab, prethodno su prijavili ovu grupu koja je ciljala banke i druga velika finansijska preduzeća.