Лаборатория Касперского: вредоносное ПО хакеров Северной Кореи нацелено на Mac OS

Глобальная группа исследований и анализа Kaspersky (GReAT) обнаружила новое вредоносное ПО, которое представляет собой законное торговое приложение, однако способно устроить полнейший хаус и не давать себя обнаружить после заражения техники.

Преступники, как сообщает издательство BTCManager, относятся к группе Lazarus, коллективу хакеров, предположительно поддерживаемых правительством Северной Кореи, известный своими постоянными атаками, часто мотивированными финансовыми целями.

Вредоносное ПО Lazarus для MacOS

Согласно GReAT, новое вредоносное ПО было создано исключительно для MacOS, и оно предназначено для криптовалютных бирж. Примечательно, что это первый в истории случай, когда Lazarus Group разработала вредоносное ПО, предназначенное для экосистемы MacOS. Возможно, это означает, что группа теперь переходит к более широкому диапазону целевых платформ.

GreAT также полагает, что существует вариант для Linux, получивший название AppleJeus, что означает, что группа создает различные интерпретации своего ПО для разных операционных систем в надежде, что это помешает антивирусам мешать намеченным целям.

Исследователи отметили, что это следует рассматривать как серьезную опасность для всех платформ, отличных от Windows, будь то MacOS, Linux или любая другая ОС.

Вредоносные программы поступают из проверенного приложения

Самым тревожным аспектом вредоносного ПО AppleJeus является то, что он копирует законное приложение для криптовалютной торговли, называемое Celas Trade Pro. Издатель приложения имеет действительный цифровой сертификат и, казалось бы, законные записи регистрации домена.

Однако, исследователи обнаружили, что бизнес-адрес, упомянутый в цифровом сертификате, является фиктивным.

«Когда вы начинаете смотреть на мелкие детали информации о приложении, это начинает выглядеть все более и более незаконным», — говорит главный исследователь безопасности в лаборатории Kaspersky Курт Баумгартнер.

Как функционирует ПО AppleJeus?

GReAT обнаружило AppleJeus во время расследования нарушений работы криптовалютной бирже. При дальнейшем анализе они смогли определить способ работы с вредоносным программным обеспечением.

Как только ничего не подозревающий пользователь загружает и устанавливает приложение MacOS, он запускает скрытый модуль «автообновление» в фоновом режиме.

В стандартном приложении автообновление предназначено для поиска и установки новых версий приложения без обязательного участия пользователя. Но в случае Celas Trade Pro автообновление начинает собирать информацию о компьютере вскоре после ее активации.

Затем он отправляет всю информацию, собранную с уже зараженного хоста, на command-and-control (C&C) сервер, чтобы исполнители могли анализировать данные. Если хакеры решили, что зараженный компьютер стоит таргетинга, они нацеливают приложение на установку еще одного обновленного под названием FallChill, которое является трояном.

После установки троян FallChill предоставляет практически неограниченный удаленный доступ к зараженной машине, которую злоумышленники могут использовать для кражи конфиденциальных финансовых данных (или любых данных, которые они хотят).

Ранее сообщалось, что гонконгская криптовалютная биржа Okex вводит новые правила идентификации личности клиентов.

Автор: Ольга Новикова, аналитик Freedman Club Crypto News
Изображение от Fotolia

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x