Хакерская группировка Lazarus расширяет целевую аудиторию. Теперь преступники атакуют в том числе компьютеры на базе macOS. Зловредная кампания, которую обнаружили эксперты «Лаборатории Касперского», была направлена на кражу криптовалюты через скомпрометированную электронную биржу.

Специалисты связывают Lazarus (также известна как Hidden Cobra) с правительством Северной Кореи. В последние годы группировка отметилась громкими атаками на кинокомпанию Sony Pictures и несколько азиатских банков. Следы этих же киберпреступников находили и в эпидемии шифровальщика Wannacry.

Недавняя атака на криптобиржу получила название AppleJeus, где Jeus — кодовое слово, которое использовали авторы зловреда, а Apple отсылает к существованию версии для macOS.

Первоначальное проникновение произошло, когда сотрудник компании установил якобы легитимное приложение для обмена криптовалют. Аналитики выяснили, что пользователь скачал программу с официального сайта, перейдя по ссылке в электронном письме.

Само ПО не вызвало подозрений антивирусных систем. На первый взгляд, в нем не содержалось вредоносных функций, а код был подписан действительным цифровым сертификатом. Эксперты установили, что источник угрозы находился в дополнительном модуле, который догружался на компьютер после установки основного дистрибутива.

Одной из ключевых особенностей кампании стал тот факт, что зловредная программа существовала в версиях для Windows и для macOS. Это первый случай, когда Lazarus атакует компьютеры Apple. При этом на сайте разработчика скомпрометированного ПО исследователи увидели анонс Linux-версии, которая позволила бы преступникам охватить все основные платформы для ПК.

В качестве полезной нагрузки злоумышленники использовали известный троян Fallchill. Специалисты уже встречали его в прошлых кампаниях Lazarus — у этого бэкдора более 20 функций, которые обеспечивают ему полный контроль над зараженной машиной. В результате преступники могут перехватывать ценные данные, получать доступ к электронным кошелькам, а при необходимости и устанавливать дополнительное ПО.

Эксперты не смогли установить, существовала ли на самом деле компания  — разработчик криптообменника, или участники Lazarus изначально зарегистрировали ее в качестве ширмы. Анализ цифровых сертификатов и данных WHOIS привел аналитиков к нескольким несуществующим адресам, что подкрепляет вторую версию.

По информации «Лаборатории Касперского», в настоящий момент угроза устранена. Сайт разработчика зараженного ПО сейчас недоступен. Информации о количестве и личности жертв, а также о понесенном ими ущербе в открытых источниках нет.

В своем комментарии изданию Bleeping Computer руководитель исследовательского центра «Лаборатории Касперского» в АТР Виталий  Камлюк отметил, что Lazarus могут позволить себе масштабные инвестиции в свои кампании:

«Специальное macOS-приложение, поддельная софтверная компания для создания программы, которая незаметно доставит вредонос, — все это означает, что преступники видят высокую потенциальную прибыль в этой операции и нам следует ждать похожих атак в скором будущем».

Это уже второй раз за последние дни, когда Lazarus попадает в поле зрения СМИ. Ранее эксперты сообщили, что новый шифровальщик из арсенала группировки принес ей несколько сотен тысяч долларов меньше чем за две недели.

Интерес пользователей к криптовалютам все чаще привлекает преступников, которые пытаются присвоить чужие средства. Одним из крупнейших инцидентов стала январская атака на японскую биржу Coincheck, которая в результате лишилась средств на $523 млн.

Категории: Главное, Хакеры