Vůbec poprvé tak odborníci Kaspersky Lab zaznamenali, že kyberzločinci ze skupiny Lazarus použili malware zaměřený na uživatele macOS. Proto by měli být opatrní všichni, kdo používají tento operační systém při transakcích s kryptoměnami.

Podle analýzy týmu GReAT pronikl malware do infrastruktury burzy ve chvíli, kdy nic netušící zaměstnanec stáhl aplikaci třetí strany z legitimně vypadající stránky. Tento web navíc patřil firmě vyvíjející software pro obchodování s kryptoměnami.

Kód aplikace nepůsobí nijak podezřele s výjimkou jednoho prvku – tzv. updateru. V běžných softwarech má tento prvek na starosti stahování nejnovějších verzí programu. V případě AppleJeus ale funguje jako výzvědný modul. Zpočátku shromažďuje základní informace o počítači, na kterém byl nainstalován. Ty následně posílá na C&C servery. Pokud se na základě těchto informací útočníci rozhodnou na počítač zaútočit, škodlivý kód se nainstaluje formou aktualizace softwaru. Škodlivá aktualizace nainstaluje trojského koně známého jako Fallchill, kterého skupina Lazarus používala již v minulosti. Díky tomu mohli odborníci určit původce útoku. Po úspěšné instalaci poskytuje trojan Fallchill kyberzločincům téměř neomezený přístup k celému napadenému počítači. Nic jim tak nebrání v krádeži cenných finančních údajů nebo nainstalování dalších nástrojů.

Situaci zhoršila skutečnost, že kyberzločinci vyvinuli software jak pro platformy s operačním systémem Windows, tak i macOS. Ten je obecně mnohem méně vystavován kybernetickým hrozbám na rozdíl od Windows. Funkce obou verzí malwaru se nijak nelišily.

Další neobvyklou skutečností okolo AppleJeus je fakt, že se na první pohled jeví jako útok na dodavatelský řetězec. Ve skutečnosti tomu tak ale nemusí vůbec být. Prodejce softwaru pro obchodování s kryptoměnami, který byl použit pro distribuci škodlivého kódu, má platný digitální certifikát pro ověřování svého softwaru. Má dokonce i registrační známky pro doménu, které se zdají být pravé. Analytici Kaspersky Lab ale na základě veřejně dostupných informací nedokázali ověřit existenci jakékoliv oprávněné organizace na adrese, která je uvedena v informacích o certifikátu.

„Od začátku minulého roku spatřujeme zvyšující se zájem skupiny Lazarus o trh s kryptoměnami. Před více jak rokem a půl byl na jeden z jejich serverů nainstalován mining software zaměřující se na kryptoměnu Monero a od té doby jsme zaznamenali řadu jejich útoků na burzy s kryptoměnami a další finanční organizace. Fakt, že vyvinuli malware schopný infikovat zařízení s macOS a dokonce vytvořili falešnou softwarovou firmu i s produkty, aby jejím prostřednictvím mohli nepozorovaně šířit svůj malware, dokládá, že v této oblasti vidí velký potenciál. Proto se domníváme, že se podobných útoků v blízké budoucnosti objeví ještě více. Především uživatele macOS by měl tento případ varovat, aby si dávali větší pozor při používání svých počítačů Mac při transakcích s kryptoměnami,“ varuje Vitaly Kamluk, vedoucí týmu GReAT pro oblast Asie a Pacifiku ve společnosti Kaspersky Lab.

Skupina Lazarus, která je známá svými sofistikovanými útoky a napojením na Severní Koreu, velmi často používá kyberšpionážní a kybersabotážní nástroje. Její útoky jsou ve většině případů motivovány finančními zisky.

Aby firmy co nejúčinněji ochránily svou IT infrastrukturu před podobnými útoky, které provádí skupina Lazarus, doporučují odborníci Kaspersky Lab následující opatření:

    1. Nakládejte s opatrností i se stránkami, které se tváří věrohodně. Ani seriózní firemní profil nebo digitální certifikáty nezaručují, že je software bez zadních vrátek.
    2. Používejte účinné bezpečnostní řešení, které je vybaveno technologiemi detekujícími škodlivé chování. Ty jsou schopné zachytit i neznámé hrozby.
    3. Zajistěte firemním IT bezpečnostním pracovníkům přístup k nejaktuálnějším informacím o kybernetických hrozbách, nových nástrojích a taktikách kyberzločinců.
    4. Při důležitých finančních transakcích používejte několikastupňové ověření a hardwarové peněženky. Pro tento účel je ideální používat počítač, který nepoužíváte pro surfování po internetu nebo vyřizování e-mailové komunikace.

Celou zprávu o hrozbě AppleJeus si můžete přečíst na blogu Securelist.com.