AppleJeus атакует

Логотип компании
23.08.2018
AppleJeus атакует
Группировка Lazarus атаковала азиатскую криптовалютную биржу с помощью Mac-зловреда.

Исследователи «Лаборатории Касперского» обнаружили новую вредоносную операцию известной группировки Lazarus. Атака получила название AppleJeus, и ее целью стала криптовалютная биржа в Азии. В сеть жертвы злоумышленники проникли с помощью зараженногоПО для торговли криптовалютами. Примечательно, что атакующие использовали две версии зловреда: для Windows и для macOS. И это первый известный образец macOS-вредоноса в арсенале Lazarus.

Аналитики «Лаборатории Касперского» выяснили, что успеху атаки сопутствовал человеческий фактор. Ничего не подозревающий сотрудник компании-жертвы скачал стороннее приложение с сайта разработчика ПОдля торговли криптовалютами. Сайт при этом выглядел вполне легитимно.

Код приложения, оказавшегося вредоносным, в целом не вызывает подозрений, за исключением одного компонента, отвечающего за обновления. В легитимном ПО подобные модули используются для загрузки новыхверсий программы. Однако в случае AppleJeus этот компонент применялся для «разведки» и сбора информации: программа собирала базовые данные о компьютере, отправляла их злоумышленникам, и если те решали, что жертва им интересна, загружалавредоносный код под видом обновления. Зловред, попадавший на зараженные компьютеры, оказался хорошо известен исследователям: это троянец Fallchill – старый инструмент Lazarus, к которому группировка недавно решила вернуться. Именно этот факт и позволил аналитикам сделать предположение, кто стоит за атакой AppleJeus.

После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развертывать дополнительные инструменты в зависимости от целии обстоятельств. Ситуация осложняется еще и тем, что в новой атаке злоумышленники решили не ограничиваться только привычной платформой Windows и создали идентичную версию троянца для операционной системы macOS, которая традиционно считалась менее подверженной кибератакам (по сравнениюс Windows).

Внимание исследователей также привлекла еще одна особенность AppleJeus. На первый взгляд операция выглядит как атака на поставщика (когда намеренно заражаются сторонние организации, предоставляющие потенциальным жертвам услуги или продукты), но в действительности она, скорее всего, ей не является. Разработчик ПО для торговли криптовалютами, который был выбран для доставки зловреда на компьютеры жертв, имеет действующий цифровой сертификатдля подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Однако, изучив публично доступную информацию, эксперты «Лаборатории Касперского» не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

Похожие статьи