«Лаборатория Касперского»: атаковать криптобиржу группировке Lazarus помог macOS-зловред

Как сообщила «Лаборатория Касперского», в последнее время ставшая популярной группировка Lazarus нанесла атаки на азиатскую криптобиржу, в чем ей помог зловред для торговли криптовалютами для Windows и macOS. Атаку назвали AppleJeus, и этот случай стал первым известным образцом macOS-вредоноса в арсенале киберпреступников из Lazarus.

Как удалось выяснить аналитикам, атака спровоцирована действиями сотрудника пострадавшей компании, скачавшим стороннее приложение с сайта разработчика программного обеспечения. Код вредоносного приложения в целом не вызвал подозрений, исключением стал один компонент, применявшийся при «разведке» и сборе данных. Исследователи хорошо знали этого зловреда: это троянская программа Fallchill — из старого арсенала Lazarus, которым группировка решила опять воспользоваться.

Разработчик ПО для торговли криптовалютами, которого должен был доставить зловред на компьютеры жертв, располагает действующим цифровым сертификатом, чтобы подписывать свои программы, а вид его регистрационных доменных записей - вполне легитимен. Но эксперты «Лаборатории Касперского» не идентифицировали ни одну легально работающую организацию, которая размещалась бы по адресу, указанному в сведениях о сертификате.

Как сказал руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников, по мнению Lazarus, операция AppleJeus потенциально может быть очень выгодной, и в ближайшей перспективе количество таких атак увеличится. А пользователи macOS должны воспринять это как своего рода сигнал тревоги, особенно, в случае использования ими своих Mac-компьютеров для операций с криптовалютами.