Virusul pentru macOS care are ca țintă să facă bani din monede virtuale

de: Răzvan Băltărețu
23 08. 2018

Sub numele AppleJeus, grupul Lazarus a derulat o operațiune de atac asupra caselor de schimb de criptomonede ca Bitcoin. Virusul pentru macOS e o noutate.

Cercetători din echipa globală de cercetare și analiză a Kaspersky Lab (GReAT) au descoperit AppleJeus după ce atacatorii au pătruns în rețeaua unei case de schimb de criptomonede folosind un program infectat cu un troian. Scopul atacului era să fure criptomonede de la victime. În afară de malware-ul pentru Windows, a fost identificată și versiunea pentru macOS.

Pătrunderea în infrastructura casei de schimb a început în momentul în care un angajat a descărcat o aplicație de pe un site care părea legitim. Compania acestui site dezvoltă software pentru schimbul de criptomonede.

Codul aplicației nu pare suspect cu excepția unei singure componente, cea de actualizare. În software-ul legitim, astfel de componente sunt folosite pentru a descărca noi versiuni ale programelor.

În cazul AppleJeus, se comportă ca un modul aflat în recunoaștere: mai întâi colectează informații generale despre computerul pe care a fost instalat, apoi trimite aceste informații la serverul de comandă și control. Dacă atacatorii decid că merită să fie atacat acel computer, codul infectat revine sub forma unei actualizări.

Aceasta instalează un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a început recent să-l refolosească. Pe baza indiciului respectiv, cercetătorii au avut un punct de plecare în atribuire. În momentul instalării, troianul Fallchill le oferă atacatorilor acces aproape nelimitat la computer, permițându-le să fure informații financiare valoroase sau să lanseze alte instrumente în acest scop.

Infractorii au dezvoltat software atât pentru Windows, cât și pentru platforma macOS. Ultima e, în general, mult mai puțin expusă la amenințări cibernetice, comparativ cu Windows.

Funcționalitatea versiunilor pentru ambele platforme este exact aceeași.

Un alt lucru neobișnuit în legătură cu operațiunea AppleJeus este acela că, deși pare un atac asupra lanțului de furnizori, în realitate s-ar putea să nu fie așa. Producătorul schimbului de criptomonede care a fost folosit pentru a ataca victimele are un certificat digital valid și un domeniu care pare legitim. Însă – cel puțin pe baza informațiilor publice – cercetătorii Kaspersky Lab nu au putut să identifice o organizație reală la adresa menționată în informațiile din certificat.

Grupul Lazarus, cunoscut pentru atacurile sale complexe și legăturile cu Coreea de Nord, s-a remarcat nu doar prin activitățile de spionaj și sabotaj cibernetic, ci și prin atacuri motivate de câștigul financiar. Mai mulți cercetători, inclusiv cei de la Kaspersky Lab, au raportat despre acest grup care a vizat bănci și alte organizații financiare mari.

[readmore]

Măsuri de siguranță pe care să le iei ca să eviți atacurile informatice

Nu acorda automat încredere codului care rulează în sistemele pe care le dețineți. Niciun site care pare autentic, niciun profil serios al companiei, nici certificatele digitale nu garantează absența unor backdoor-uri.

Folosește o soluție de securitate eficientă, cu tehnologii de detecție a comportamentului periculos, care permit detectarea inclusiv a amenințărilor necunoscute anterior.

Folosește autentificarea multi-factor și portofele hardware dacă faci tranzacții financiare semnificative. În acest scop, folosește, de preferință, un computer izolat pe care nu navighezi pe internet și nu citești mailuri.