Пресловутые северокорейские хакеры, известные как Lazarus APT Group, создали еще одну вредоносную программу для Apple Mac, маскирующуюся под фиктивной фирмой по криптовалюте.
Специалист по безопасности Apple Mac и главный исследователь безопасности в Jamf Патрик Уордл опубликовал в своем блоге 12 октября сообщение о природе вредоносного ПО, раскрытого исследователями MalwareHunterTeam (MHT) накануне.
Тесно связана с более ранними криптованисами macOS
MHT и Wardle предупреждают, что во время их предупреждения вредоносные программы не были обнаружены любыми механизмами VirusTotal, и что образец, по-видимому, тесно связан со штаммом вредоносного ПО для Mac, созданным Lazarus Group и идентифицированным Лабораторией Касперского еще летом2018.
Как и предыдущий штамм, хакеры создали поддельную криптовалютную фирму – на этот раз называемую «JMT Trading» – через которую совершали свои атаки.Написав приложение для торговли криптовалютой с открытым исходным кодом, они загрузили его код на GitHub, скрывая в нем вредоносное ПО.
Уордл проанализировал процесс установки приложения, выявил подозрительный пакет и демон запуска, скрытый в нем, и проанализировал вредоносную функциональность скрипта хакеров.
В то время как бэкдор предоставляет удаленному злоумышленнику полную команду и контроль над зараженными системами MacOS, Уордл отмечает, что у инструментов с открытым исходным кодом и процессов обнаружения вручную предупрежденными пользователями не должно быть проблем с обнаружением вредоносного ПО.Тем не менее, он повторил свое предупреждение о том, что движки VirusTotal не собирали его во время написания.
Он также считает, что наиболее вероятными целями вредоносного ПО являются сотрудники биржи криптовалют, а не обычные розничные инвесторы.
Кибер злодеи
Как сообщалось, якобы спонсируемая государством группа Lazarus в Северной Корее пострадала от своей злобной деятельности.По оценкам, осенью 2018 года группа похитила ошеломляющие 571 миллион долларов в криптовалютах с начала 2017 года и была обвинена в причастности к рекордному взлому NEM на 532 миллиона долларов японской биржи Coincheck.
В сентябре этого года Энн Нойбергер – директор Дирекции кибербезопасности Агентства национальной безопасности США (NSA) – подчеркнула, что Северная Корея особенно креативна в своей стратегии кибервойны, указав на предполагаемое использование криптовалютой государства-изгоя для сбора средств для президента Кима.Режим Чон Уна.
