Grupul Lazarus revine cu AppleJeus, un nou malware care ţinteşte furtul de criptomonede, anunță Kaspersky Lab.
O nouă operaţiune declanşată de grupul Lazarus care vizează furtul de criptomonede, a fost descoperită, recent, de către specialiştii din echipa globală de cercetare şi analiză a Kaspersky Lab (GReAT). Astfel, prin intermediul AppleJeus, atacatorii au pătruns în reţeaua unei case de schimb de criptomonede folosind un program infectat cu un troian, scopul atacului fiind acela de a fura criptomonede de la victime.
Specialiştii Kaspersky Lab notează că, în afara malware-ului pentru Windows, au reuşit să identifice o versiune necunoscută până acum, care vizează şi platforma macOS. 'Codul aplicaţiei nu pare suspect, cu excepţia unei singure componente, cea de actualizare. În software-ul legitim, astfel de componente sunt folosite pentru a descărca noi versiuni ale programelor. În cazul AppleJeus, se comportă ca un modul aflat în recunoaştere: mai întâi colectează informaţii generale despre computerul pe care a fost instalat, apoi trimite aceste informaţii la serverul de comandă şi control. Dacă atacatorii decid că merită să fie atacat acel computer, codul infectat revine sub forma unei actualizări.
Fallchill
Aceasta instalează un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a început recent să-l refolosească. Pe baza indiciului respectiv, cercetătorii au avut un punct de plecare în atribuire. În momentul instalării, troianul Fallchill le oferă atacatorilor acces aproape nelimitat la computer, permiţându-le să fure informaţii financiare valoroase sau să lanseze alte instrumente în acest scop', explică specialiştii.
Conform analizei, un alt lucru neobişnuit în legătură cu operaţiunea AppleJeus este că, deşi pare un atac asupra lanţului de furnizori, în realitate acest lucru nu poate fi confirmat. 'Producătorul schimbului de criptomonede care a fost folosit pentru a ataca victimele are un certificat digital valid şi un domeniu care pare legitim. Însă - cel puţin pe baza informaţiilor publice - cercetătorii Kaspersky Lab nu au putut să identifice o organizaţie reală la adresa menţionată în informatiile din certificat', se precizează în comunicat.
Lazarus și Coreea de Nord
Grupul Lazarus, cunoscut pentru atacurile sale complexe şi legăturile cu Coreea de Nord s-a remarcat nu doar prin activităţile de spionaj şi sabotaj cibernetic, ci şi prin atacuri motivate de câştigul financiar. Mai mulţi cercetători, inclusiv cei de la Kaspersky Lab, au raportat despre acest grup care a vizat bănci şi alte organizaţii financiare mari.
Vezi și: Alertă Kaspersky: zeci de mii de troieni bancari pentru mobil
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News
de Val Vâlcu