Het eerste crypto gerelateaarde macOS-malwareprogramma met de focus om gegevens van exchange te verazamelen lijkt nu actief te zijn en is afkomstig van een Noord-Koreaanse hackers team.
Kaspersky Lab, publiceerde 23 augustus een rapport waarin werd onthulde het bedrijf dat de malware ‘Applejeus” heeft onderkend. Gegevens komen vrij nadat een medewerker van een exchange een ‘besmette’ app heeft download. Zoals Kaspersky Lab officieel zei, kwam de app waarschijnlijk van een nep-ontwikkelaar met valse beveiligingscertificaten in een grote operatie van een Noord-Koreaans hackerscollectief met de naam Lazarus Group.
Dit is het eerste geval waarin onderzoekers van Kaspersky Lab de beruchte Lazarus-groep hebben waargenomen die malware distribueert die gericht is op macOS-gebruikers, en het is een wakeup-oproep voor iedereen die dit besturingssysteem gebruikt voor activiteiten gerelateerd aan cryptocurrency.
De code van de app is niet verdacht, met uitzondering van één component, de updater. In legitieme software worden dergelijke componenten gebruikt om nieuwe versies van programma’s te downloaden. In het geval van AppleJeus werkt het als een verkenningsmodule: eerst verzamelt het basisinformatie over de computer waarop het is geïnstalleerd en vervolgens stuurt het deze informatie terug naar de opdracht- en besturingsserver en, als de aanvallers besluiten dat de computer de moeite waard is om te aanvallen dan komt de schadelijke code terug in de vorm van een software-update.
De kwaadaardige update installeert een Trojaans paard dat bekend staat als Fallchill, een oud hulpmiddel waar de Lazarus-groep recentelijk op terug is gegaan. Dit feit voorzag de onderzoekers van een basis voor attributie. Bij de installatie biedt het Fallchill-Trojaanse paard de aanvallers vrijwel onbeperkte toegang tot de aangevallen computer, waardoor ze waardevolle financiële informatie kunnen stelen of extra hulpmiddelen kunnen inzetten voor dat doel.
De Lazarus-groep, bekend om zijn gesofisticeerde operaties en verbindingen met Noord-Korea, wordt niet alleen opgemerkt vanwege de aanvallen op cyberspionage en cybersabotage, maar ook vanwege financieel gemotiveerde aanvallen. Een aantal onderzoekers zoals Kaspersky Lab, hebben eerder al gerapporteerd over deze groep die zich richt op banken en andere grote financiële ondernemingen.