Обнаружен новый вредоносный malware для MacOS от корейских хакеров

Пресловутые северокорейские хакеры, известные как Lazarus APT Group, создали еще одну вредоносную программу для Apple Mac, маскирующуюся под фиктивной компанией по криптовалюте.

Специалист по безопасности Apple Mac и главный исследователь безопасности в Jamf Патрик Уордл опубликовал в своем блоге 12 октября сообщение о природе вредоносного ПО, раскрытого исследователями MalwareHunterTeam (MHT) накануне.

Тесно связана с более ранними крипто malware macOS

MHT и Wardle предупреждают, что во время их предупреждения вредоносные программы не были обнаружены любыми механизмами VirusTotal и что образец, по-видимому, тесно связан со штаммом вредоносных программ для Mac, созданным Lazarus Group и идентифицированным Лабораторией Касперского еще летом 2018.

Как и предыдущий штамм, хакеры создали поддельную криптовалютную компанию — на этот раз называемую «JMT Trading» — через которую совершали свои атаки. Написав приложение для торговли криптовалютой с открытым исходным кодом, они загрузили его код на GitHub, скрывая в нем вредоносное ПО.

Уордл проанализировал процесс установки приложения, выявил подозрительный пакет и daemon запуска, скрытый в нем, и проанализировал вредоносную функциональность скрипта бэкдора хакеров.

В то время как бэкдор предоставляет удаленному злоумышленнику полную команду и контроль над зараженными системами MacOS, Уордл отмечает, что у инструментов с открытым исходным кодом и процессов ручного обнаружения предупрежденными пользователями не должно быть проблем с обнаружением вредоносного ПО. Тем не менее, он повторил свое предупреждение о том, что движки VirusTotal не обнаруживали его на момент публикации.

Он также считает, что наиболее вероятными целями вредоносного ПО являются криптобиржи, а не обычные розничные инвесторы.

Кибер злодеи

Как сообщалось, якобы спонсируемая государством группа Lazarus в Северной Корее пострадала от своей мошеннической деятельности. По оценкам, осенью 2018 года группа похитила ошеломляющие 571 миллион долларов в криптовалютах с начала 2017 года и была обвинена в причастности к рекордному взлому NEM на 532 миллиона долларов японской биржи Coincheck.

В сентябре этого года Энн Нойбергер — директор Дирекции кибербезопасности Агентства национальной безопасности США (NSA) — подчеркнула, что Северная Корея особенно креативна в своей стратегии кибервойны, указав на предполагаемое использование криптовалютой государства-изгоя для сбора средств для президента Кима.