Operacija AppleJeus: Čuvena grupa Lazarius ponovo u akciji, sada imaju i malver za MacOS

Vesti, 28.08.2018, 10:30 AM

Operacija AppleJeus: Čuvena grupa Lazarius ponovo u akciji, sada imaju i malver za MacOS

Istraživači tima za globalna istraživanja i analize kompanije Kaspersky Lab otkrili su AppleJeus, novu operaciju koju je pokrenula ozloglašena Lazarus grupa.

Napadači su prodrli u sistem za razmenu kripotvaluta u Aziji koristeći trojanizovani softver za trgovanje kriptovalutama. Cilj napada bio je krađa kriptovaluta. Pored malicioznog softvera pisanog za Windows, istraživači su identifikovali i verziju malicioznog softvera namenjenu MacOS platformi.

Ovo je prvi slučaj za koji u kompaniji Kaspersky Lab znaju, da ozloglašena Lazarus grupa distribuira malver koji cilja korisnike MacOS.

Analiza istraživača je pokazala da je prodor u infrastrukturu sistema za razmenu kriptovaluta započeo kada je jedan od zaposlenih u kompaniji preuzeo aplikaciju sa web sajta kompanije koja se bavi razvojem softvera za trgovanje kriptovalutama.

Sam kod aplikacije ne izgleda sumnjivo, sa izuzetkom jedne komponente - updatera. U legitimnom softveru takve komponente se koriste za preuzimanje novih verzija programa. U slučaju AppleJeusa, on funkcioniše kao “izviđački” modul: najpre prikuplja osnovne podatke o računaru na kome je instaliran, zatim ih šalje komandno-kontrolnom (C&C) serveru. Ako napadači odluče da je računar vredan napada, zlonamerni kod se vraća u obliku softverskog ažuriranja. Maliciozno ažuriranje instalira trojanca poznatog kao Fallchill - već korišćeni, stari alat koji grupa Lazarus odnedavno ponovo koristi.

Nakon instalacije, Fallchill obezbeđuje napadačima gotovo neograničen pristup napadnutom računaru, omogućavajući im krađu dragocenih finansijskih informacija ili upotrebu dodatnih alata u te svrhe.

Situaciju je pogoršala činjenica da su kriminalci razvili softver za Windows, kao i MacOS platformu, koja je generalno mnogo manje izložena sajber pretnjama od Windowsa. Funkcionalnost obe verzije malvera je potpuno ista.

Još jedna neobična stvar u vezi sa operacijom AppleJeus je da, iako napad izgleda kao napad na lanac snabdevanja, u stvarnosti to možda nije slučaj. Proizvođač softvera za trgovanje kriptovalutama koji je korišćen da isporuči zlonamerni teret na računare žrtava ima važeći digitalni sertifikat za potpisivanje svog softvera i registarske zapise za domen koji deluju legitimno. Međutim - bar na osnovu javno dostupnih informacija - istraživači kompanije Kaspersky Lab nisu uspeli da identifikuju nijednu legitimnu organizaciju koja se nalazi na adresi korišćenoj u informacijama na sertifikatu.

"Primetili smo sve veći interes Lazarus grupe za tržište kriptovaluta početkom 2017. godine, kada su operateri grupe instalirali Monero sofver za majning kriptovaluta na jednom od njihovih servera. Od tada, nekoliko puta su uhvaćeni u ciljanim napadima na programe za razmenu kriptovaluta, pored redovnih napada na finansijske organizacije. Činjenica da su razvili zlonamerne programe kako bi zarazili korisnike MacOS platofrme pored korisnika Windowsa i, najverovatnije čak stvorili i potpuno lažnu softversku kompaniju i softverski proizvod kako bi mogli da isporuče ovaj malver neopaženo, znači da oni vide potencijalno veliku zaradu u ovoj operaciji, a trebalo bi očekivati više takvih slučajeva u bliskoj budućnosti. Za korisnike MacOS platforme ovaj slučaj je alarm, pogotovo ako koriste svoje Mac računare za obavljanje operacija sa kriptovalutama", napominje Vitali Kamluk, šef tima za globalna istraživanja i analize kompanije Kaspersky Lab.

Grupa Lazarus, poznata po svojim sofisticiranim operacijama i povezanosti sa Severnom Korejom, svoju reputaciju stekla je ne samo zbog sajber-špjunaže i sajber-sabotaže, već i zbog finansijski motivisanih napada. Veliki broj istraživača bavio se ovom grupom kadaje ona ciljala banke i druga velika finansijska preduzeća.

Da biste zaštitili sebe i vašu kompaniju od sofisticiranih sajber-napada i grupa kao što je ova, stručnjaci za bezbednost iz kompanije Kaspersky Lab savetuju sledeće:

• Nemojte automatski verovati kodu koji radi na vašim sistemima. Sajt koji deluje autentično, kao ni solidan profil kompanije ili digitalni certifikati nisu garancija da se negde ne krije backdoor malver.

• Koristite pouzdano bezbednosno rešenje, opremljeno tehnologijama za otkrivanje zlonamernog ponašanja koje omogućavaju da se identifikuju i spreče čak i ranije nepoznate pretnje.

• Pretplatite vašu firmu na uslugu koja će vam omogućiti pristup informacijama o najnovijim dešavanjima i tehnikama sofisticiranih aktera pretnji.

• Koristite multi-faktorsku autentikaciju i hardverske novčanike ako imate značajne finansijske transakcije. U tu svrhu, poželjno je da koristite izolovani računar koji ne koristite za pretraživanje interneta ili čitanje emailova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje