Группа хакеров Lazarus атаковала криптовалютную биржу в Азии при помощи зловреда для торговли криптовалютами для Windows и для macOS, говорится в данных «Лаборатории Касперского». Атаку назвали AppleJeus, и он является первым известным образцом macOS-вредоноса в арсенале Lazarus.
Эксперты узнали, что к атаке привели действия работника компании-жертвы, он скачал стороннее приложение с сайта разработчика ПО. Код приложения, который оказался вредоносным, в целом не вызывал никаких подозрений, за исключением одного компонента, применяемого для «разведки» и сбора сведений. Зловред оказался хорошо известен экспертам: это троянец Fallchill — довольно старый инструмент Lazarus, к нему хакеры недавно решили вернуться, указывается в сообщении «Лаборатории Касперского».
У разработчик ПО для торговли криптовалютами, которого выбрали для доставки зловреда на компьютеры жертв, есть действующий цифровой сертификат для подписи собственных программ, а его регистрационные доменные записи выглядят легитимно. Впрочем, аналитики «Лаборатории Касперского» не сумели идентифицировать ни одну легальную компанию, которая была бы размещена по адресу, написанному в данных о сертификате.
Как рассказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского», Lazarus видит в операции AppleJeus потенциально большую выгоду, и в ближайшее время таких атак может стать еще больше. А для пользователей macOS это должно стать неким сигналом тревоги, в особенности если они применяют свои Mac-компьютеры для операций с криптовалютами.
