A Lazarus csoport pusztítóbb, mint valaha

IT-biztonsági kutatók nemrég egy AppleJeus nevre keresztelt kártékony akciót azonosítottak, amelyet a hírhedt Lazarus csoporthoz kötnek. A támadók behatoltak egy ázsiai kriptovaluta váltó hálózatába a Trojanized kriptovaluta kereskedő szoftver segítségével. Céljuk a kriptovaluták ellopása a gyanútlan felhasználóktól. A Windows-os programok mellett a kutatók azonosítottak egy korábbi változatot, amely a macOS rendszerű gépeket támadta. Ez az első olyan alkalom, amikor a kutatók olyan rosszindulatú tevékenységet észleltek, amely a Lazarus csoporthoz köthető és macOS felhasználókat céloztak vele. Úgyhogy ez üzenetértékű mindazok számára, akik kriptovalutával kapcsolatos tevékenységeket folytatnak és macOS alapú rendszereken teszik mindezt.

A hálózat feltörése akkor kezdődött, amikor egy vállalati alkalmazott egy olyan harmadik féltől származó alkalmazást töltött le, amely egy legális kriptovaluta kereskedelemre alkalmas szoftvereket fejlesztő cég valós honlapján volt elérhető. Az alkalmazás kódja alapvetően nem tartalmaz gyanús elemeket, egyetlen összetevő kivételével, amely egy updater. A legális szoftverekben az ilyen fájlok az adott programok új verzióinak letöltését végzik. Ámde az AppleJeus esetében ez valójában felderítőként működik: először összegyűjt minden információt a számítógépről, amire telepítették, majd ezeket továbbítja a c&c szerverre. Ha a kiberbűnözők úgy ítélik meg, hogy ez egy olyan számítógép, amelyet érdemes feltörni, akkor a kártékony kód a szoftver frissítésével kerül a kiválasztott számítógépre. A rosszindulatú szoftverfrissítés telepíti a Fallchill nevű trójait, amelyet a Lazarus csoport korábban már használt. A Fallchill trójai telepítésével a támadók szinte korlátlan hozzáférést kapnak a megtámadott számítógéphez, amely lehetővé teszi az értékes pénzügyi adatok vagy privát információk ellopását.