Новая вредоносная программа MacOS от корейских хакеров скрывается за поддельной криптовалютной фирмой

Пресловутые северокорейские хакеры, известные как Lazarus APT Group, создали еще одну вредоносную программу для Apple Mac, маскирующуюся под фиктивной фирмой по криптовалюте.

Специалист по безопасности Apple Mac и главный исследователь безопасности в Jamf Патрик Уордл опубликовал в своем блоге 12 октября сообщение о природе вредоносного ПО, раскрытого исследователями MalwareHunterTeam (MHT) накануне.

Тесно связана с более ранними криптованисами macOS

MHT и Wardle предупреждают, что во время их предупреждения вредоносные программы не были обнаружены любыми механизмами VirusTotal, и что образец, по-видимому, тесно связан со штаммом вредоносного ПО для Mac, созданным Lazarus Group и идентифицированным Лабораторией Касперского еще летом2018.

Как и предыдущий штамм, хакеры создали поддельную криптовалютную фирму – на этот раз называемую «JMT Trading» – через которую совершали свои атаки.Написав приложение для торговли криптовалютой с открытым исходным кодом, они загрузили его код на GitHub, скрывая в нем вредоносное ПО.

Уордл проанализировал процесс установки приложения, выявил подозрительный пакет и демон запуска, скрытый в нем, и проанализировал вредоносную функциональность скрипта хакеров.

В то время как бэкдор предоставляет удаленному злоумышленнику полную команду и контроль над зараженными системами MacOS, Уордл отмечает, что у инструментов с открытым исходным кодом и процессов обнаружения вручную предупрежденными пользователями не должно быть проблем с обнаружением вредоносного ПО.Тем не менее, он повторил свое предупреждение о том, что движки VirusTotal не собирали его во время написания.

Он также считает, что наиболее вероятными целями вредоносного ПО являются сотрудники биржи криптовалют, а не обычные розничные инвесторы.

Кибер злодеи

Как сообщалось, якобы спонсируемая государством группа Lazarus в Северной Корее пострадала от своей злобной деятельности.По оценкам, осенью 2018 года группа похитила ошеломляющие 571 миллион долларов в криптовалютах с начала 2017 года и была обвинена в причастности к рекордному взлому NEM на 532 миллиона долларов японской биржи Coincheck.

В сентябре этого года Энн Нойбергер – директор Дирекции кибербезопасности Агентства национальной безопасности США (NSA) – подчеркнула, что Северная Корея особенно креативна в своей стратегии кибервойны, указав на предполагаемое использование криптовалютой государства-изгоя для сбора средств для президента Кима.Режим Чон Уна.