Исследователи обнаружили серю атак организации Lazarus,, которая атакует криптовалютные биржи, распространяя вредоносное ПО среди пользователей macOS. По данным Лаборатории Касперского, основанная в Азии сеть криптовалютных площадок была заражена трояном Lazarus, что привело к распространению вредоносного ПО на компьютеры с операционными системами Windows и macOS.
Команда заявляет, что троян, который ранее был связан только с компьютерными вирусами Windows, теперь атакует пользователей macOS с целью похищения криптовалюты. Это первый случай, когда Lazarus, которая, предположительно, является спонсируемой государством северокорейской мошеннической группой, удалось распространить вредоносное ПО на компьютеры Mac. Ранее группа Lazarus атаковала южнокорейские научно-исследовательские центры и другие политические организации, используя неустраненные уязвимости Windows. Несмотря на то, что мошенники просто переписали старый код для создания новых атак, их не следует недооценивать.
Хакеры уже осуществили несколько атак на криптовалютные биржи с целью похищения монет, включая использование фишинговых писем, зараженных вредоносным ПО, компрометирующим кошельки пользователей. Эта схема все еще работает, но мошенники пошли дальше, и теперь намеренны массово атаковать биржи, подсылая вирус под видом законного программного обеспечения, которое можно скачать в интернете.
Эксперты по безопасности рассказали, что сотрудник одной из бирж машинально загрузил приложение, предлагающее программное обеспечение для торговли криптовалютами. Веб-сайт и программное обеспечение не выглядели вредоносными. Однако ПО содержало модуль обновления, который собирает основную информацию с ПК и отправляет данные на сервер управления и контроля. По словам экспертов, если мошенники решат, что ПК «стоит атаковать», они отправляют на него обновление программного обеспечения. Это «обновление», совместимое с Windows и Mac, устанавливает троян Fallchill, старый инструмент, который Lazarus достала из закромов. Троян может использоваться для кражи финансовой информации и компрометации кошелька, а также для выполнения дополнительных вредоносных задач.
Компания, через которую распространяется вредоносное ПО, имеет действительный сертификат разработчика, поэтому так сложно определить вредоносный элемент программного обеспечения. Однако, организацию, выдавшую сертификат, идентифицировать не удалось.
«Мы заметили интерес к криптовалюте в начале 2017 года, когда на одном из наших серверов участниками преступной группировки было установлено программное обеспечение для скрытого майнинга монеты Monero», - сказал Виталий Камлюк, один из экспертов Лаборатории. «С тех пор мошенники несколько раз пытались атаковать криптовалютные биржи наряду с традиционными финансовыми организациями».
«Тот факт, что они разработали вредоносное ПО для заражения пользователей macOS в дополнение к пользователям Windows и, скорее всего, даже создали поддельную компанию и программный продукт, чтобы иметь возможность распространять эту вредоносную программу, которую не могут обнаружить системы безопасности, означает, что они намерены получить очень большую прибыль, и следует ожидать новых атак в ближайшем будущем», - считает Камлюк.
По материалам zdnet.com
Читайте также
С NFT-платформы Lympo украли $18 миллионов
Хакеры вывели с горячих кошельков спортивной NFT-платформы токены LMT на $18,2 миллиона на момент взлома.
Chainalysis отслеживает IP-адреса пользователей WalletExplorer
В дарквеб утекли документы, которые подтверждают, что обозреватель блоков, принадлежащий Chainalysis, делился информацией с правоохранительными органами.