Хакери з групи Lazarus атакують користувачів macOS

Дослідники виявили серію атак організації Lazarus, яка атакує криптовалютні біржі, розповсюджуючи шкідливе програмне забезпечення серед користувачів macOS. За даними Лабораторії Касперського, заснована в Азії мережа криптовалютних майданчиків була заражена трояном Lazaru...

s, що призвело до поширення шкідливого програмного забезпечення на комп'ютери з операційними системами Windows і MacOS. Команда заявляє, що троян, який раніше був пов'язаний тільки з комп'ютерними вірусами Windows, тепер атакує користувачів macOS з метою викрадення криптовалюти. Це перший випадок, коли Lazarus, яка, ймовірно, спонсорована державою північнокорейською шахрайською групою, вдалося поширити шкідливе ПЗ на комп'ютери Mac. Раніше група Lazarus атакувала південнокорейські науково-дослідні центри та інші політичні організації, використовуючи неусунуті уразливості Windows. Незважаючи на те, що шахраї просто переписали старий код для створення нових атак, їх не слід недооцінювати.

Хакери вже здійснили кілька атак на криптовалютні біржі з метою викрадення монет, включаючи використання фішингових листів, заражених шкідливим програмним забезпеченням, що компрометує гаманці користувачів. Ця схема все ще працює, але шахраї пішли далі, і тепер мають намір масово атакувати біржі, підсилаючи вірус під виглядом законного програмного забезпечення, яке можна завантажити в інтернеті. Експерти з безпеки розповіли, що співробітник однієї з бірж машинально завантажив додаток, що пропонує програмне забезпечення для торгівлі криптовалютами. Веб-сайт та програмне забезпечення не виглядали шкідливими. Однак ПЗ містило модуль оновлення, який збирає основну інформацію з ПК і відправляє дані на сервер управління та контролю. За словами експертів, якщо шахраї вирішать, що ПК «стоїть атакувати», вони надсилають на нього оновлення програмного забезпечення. Це оновлення, сумісне з Windows і Mac, встановлює троян Fallchill, старий інструмент, який Lazarus дістала з засіків. Троян може використовуватися для крадіжки фінансової інформації та компрометації гаманця, а також для виконання додаткових шкідливих завдань.

Компанія, через яку поширюється шкідливе програмне забезпечення, має дійсний сертифікат розробника, тому так складно визначити шкідливий елемент програмного забезпечення. Проте організацію, що видала сертифікат, ідентифікувати не вдалося..

«Ми помітили інтерес до криптовалюти на початку 2017 року, коли на одному з наших серверів учасниками злочинного угруповання було встановлено програмне забезпечення для прихованого майнінгу монети Monero», - сказав Віталій Камлюк, один із експертів Лабораторії. «З тих пір шахраї кілька разів намагалися атакувати криптовалютні біржі поряд з традиційними фінансовими організаціями».

«Той факт, що вони розробили шкідливе ПЗ для зараження користувачів macOS на додаток до користувачів Windows і, швидше за все, навіть створили підроблену компанію і програмний продукт, щоб мати можливість розповсюджувати цю програму, щоб мати можливість поширювати цю програму вони мають намір отримати дуже великий прибуток, і слід чекати на нові атаки в найближчому майбутньому», - вважає Камлюк.

За матеріалами zdnet.com