Οι ερευνητές της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης της Kaspersky Lab ανακάλυψαν το AppleJeus – μια νέα κακόβουλη επίθεση από τη γνωστή ομάδα Lazarus. Οι επιτιθέμενοι διείσδυσαν στο δίκτυο ανταλλαγής κρυπτονομισμάτων στην Ασία χρησιμοποιώντας ως Trojan λογισμικό εμπορίας κρυπτονομισμάτων.
Ο στόχος της επίθεσης ήταν να κλέψουν κρυπτονομίσματα από τα θύματά τους. Εκτός από κακόβουλο πρόγραμμα με βάση τα Windows, οι ερευνητές μπόρεσαν να εντοπίσουν μια προηγουμένως άγνωστη έκδοση με στόχο πλατφόρμα macOS.
Αυτή είναι η πρώτη φορά που η ομάδα Lazarus διανέμει κακόβουλο λογισμικό με στόχο τους χρήστες macOS συσκευών και αντιπροσωπεύει μια «κλήση αφύπνισης» για όλους όσους χρησιμοποιούν αυτό το λειτουργικό σύστημα για κρυπτονομίσματα.
Σύμφωνα με την Kaspersky, η διείσδυση στην υποδομή του ανταλλακτηρίου ξεκίνησε όταν ένας ανυποψίαστος υπάλληλος της εταιρείας εγκατέστησε μια εφαρμογή τρίτων από τον νόμιμο ιστότοπο μιας εταιρείας που αναπτύσσει λογισμικό για συναλλαγές με κρυπτονομίσματα.
Ο κώδικας της εφαρμογής δεν είναι ύποπτος, με εξαίρεση μια λειτουργία – έναν updater. Σε νόμιμο λογισμικό τέτοια στοιχεία χρησιμοποιούνται για τη λήψη νέων εκδόσεων προγραμμάτων.
Στην περίπτωση του AppleJeus, λειτουργεί ως μονάδα αναγνώρισης: αρχικά συλλέγει τις βασικές πληροφορίες, σχετικά με τον υπολογιστή στον οποίο έχει εγκατασταθεί και μετά στέλνει αυτές τις πληροφορίες στο command and control server και, αν οι επιτιθέμενοι αποφασίσουν ότι ο υπολογιστής αξίζει την επίθεση, ο κακόβουλος κώδικας επανέρχεται με τη μορφή ενημέρωσης λογισμικού.
Η κακόβουλη αναβάθμιση εγκαθιστά ένα Trojan που είναι γνωστό ως Fallchill, ένα παλιό εργαλείο στο οποίο επανήλθε πρόσφατα η ομάδα Lazarus. Μετά την εγκατάσταση, το Trojan Fallchill παρέχει στους εισβολείς σχεδόν πλήρη πρόσβαση στον υπολογιστή που δέχεται επίθεση, επιτρέποντάς τους να κλέβουν πολύτιμες οικονομικές πληροφορίες ή να αναπτύξουν πρόσθετα εργαλεία για τον σκοπό αυτό.
«Παρατηρήσαμε ένα αυξανόμενο ενδιαφέρον της Ομάδας Lazarus για τις αγορές κρυπτονομισμάτων στις αρχές του 2017, όταν το λογισμικό εξόρυξης Monero εγκαταστάθηκε σε έναν από τους servers τους από έναν χειριστή του Lazarus. Έκτοτε, εντοπίστηκαν αρκετές φορές να στοχεύουν σε ανταλλαγές κρυπτονομισμάτων, ταυτόχρονα με συνήθεις χρηματοπιστωτικούς οργανισμούς. Το γεγονός ότι ανέπτυξαν ένα κακόβουλο λογισμικό για να μολύνουν τους χρήστες macOS, εκτός από τους χρήστες των Windows και – πιθανότατα – δημιούργησαν ακόμη και μια εντελώς ψεύτικη εταιρεία λογισμικού και προϊόν λογισμικού για να μπορέσουν να παραδώσουν αυτό το malware το οποίο δεν έχει εντοπιστεί από τις λύσεις ασφάλειας, σημαίνει ότι εντοπίζουν κέρδη σε ολόκληρη την επιχείρηση, και σίγουρα θα πρέπει να αναμένουμε περισσότερες τέτοιες περιπτώσεις στο κοντινό μέλλον. Για τους χρήστες macOS, αυτή η περίπτωση είναι μια «κλήση αφύπνισης», ειδικά εάν χρησιμοποιούν τους υπολογιστές τους για να πραγματοποιούν δραστηριότητες που σχετίζονται με κρυπτονομίσματα», σημειώνει ο Vitaly Kamluk, επικεφαλής της Παγκόσμιας Ομάδας Έρευνας και Ανάλυσης APAC στην Kaspersky Lab.
Η ομάδα Lazarus, γνωστή για τις εξελιγμένες δραστηριότητές της και τους συνδέσμους του με τη Βόρεια Κορέα, έχει συμμετάσχει, όχι μόνο σε επιθέσεις ψηφιακής κατασκοπείας και δολιοφθοράς, αλλά και σε οικονομικές. Ένας αριθμός ερευνητών, μεταξύ των οποίων και η Kaspersky Lab, έχουν σημειώσει στο παρελθόν ότι η ομάδα αυτή είχε ως στόχο τράπεζες και άλλους μεγάλους χρηματοπιστωτικούς οργανισμούς.
