Пресловутые северокорейские хакеры, известные как Lazarus APT Group, создали еще одну вредоносную программу для Apple Mac, маскирующуюся под фиктивной компанией по криптовалюте.
Специалист по безопасности Apple Mac и главный исследователь безопасности в Jamf Патрик Уордл опубликовал в своем блоге 12 октября сообщение о природе вредоносного ПО, раскрытого исследователями MalwareHunterTeam (MHT) накануне.
Тесно связана с более ранними крипто malware macOS
MHT и Wardle предупреждают, что во время их предупреждения вредоносные программы не были обнаружены любыми механизмами VirusTotal и что образец, по-видимому, тесно связан со штаммом вредоносных программ для Mac, созданным Lazarus Group и идентифицированным Лабораторией Касперского еще летом 2018.
Как и предыдущий штамм, хакеры создали поддельную криптовалютную компанию — на этот раз называемую «JMT Trading» — через которую совершали свои атаки. Написав приложение для торговли криптовалютой с открытым исходным кодом, они загрузили его код на GitHub, скрывая в нем вредоносное ПО.
Уордл проанализировал процесс установки приложения, выявил подозрительный пакет и daemon запуска, скрытый в нем, и проанализировал вредоносную функциональность скрипта бэкдора хакеров.
В то время как бэкдор предоставляет удаленному злоумышленнику полную команду и контроль над зараженными системами MacOS, Уордл отмечает, что у инструментов с открытым исходным кодом и процессов ручного обнаружения предупрежденными пользователями не должно быть проблем с обнаружением вредоносного ПО. Тем не менее, он повторил свое предупреждение о том, что движки VirusTotal не обнаруживали его на момент публикации.
Он также считает, что наиболее вероятными целями вредоносного ПО являются криптобиржи, а не обычные розничные инвесторы.
Кибер злодеи
Как сообщалось, якобы спонсируемая государством группа Lazarus в Северной Корее пострадала от своей мошеннической деятельности. По оценкам, осенью 2018 года группа похитила ошеломляющие 571 миллион долларов в криптовалютах с начала 2017 года и была обвинена в причастности к рекордному взлому NEM на 532 миллиона долларов японской биржи Coincheck.
В сентябре этого года Энн Нойбергер — директор Дирекции кибербезопасности Агентства национальной безопасности США (NSA) — подчеркнула, что Северная Корея особенно креативна в своей стратегии кибервойны, указав на предполагаемое использование криптовалютой государства-изгоя для сбора средств для президента Кима.
Добавить комментарий