Лаборатория Касперского: северокорейские хакеры заразили криптобиржу

Лаборатория Касперского сообщает, что северокорейские хакеры заразили криптобиржу вредоносной программой как для Windows, так и для MacOS.

В отчете Лаборатории говорится о том, что вредоносное ПО, получившее название «AppleJeus», попало в системы неназванной биржи после того, как сотрудник загрузил «испорченное» приложение. Теперь специалисты Лаборатории полагают, что приложение было создано поддельным разработчиком с поддельными сертификатами безопасности крупной северокорейской хакерской группировкой Lazarus Group.

Вредоносная программа, предназначенная для кражи криптовалюты, как утверждает Лаборатория Касперского, знаменует собой последнюю успешную попытку Северной Кореи во взломах в криптосфере.

В отчете Лаборатории говорится, что для того, чтобы «платформа ОС не была препятствием для заражения жертв, злоумышленники проделали лишнюю работу и разработали вредоносное ПО для других платформ, в том числе для macOS», отметив:

Версия для Linux, по-видимому, скоро появится. Вероятно, в первый раз мы видим, что эта APT-группа использует вредоносное ПО для macOS.

Южнокорейские биржи уже становились целью попыток взлома и атак для хакеров из Lazarus Group. В частности, ранее поступали жалобы, возникающие в связи с нападениями на такие платформы, как Bithumb, YouBit и Coinlink.

Выступая перед Bleeping Computer, Виталий Камлук, руководитель группы Kaspersky GReAT APAC, добавил:

Тот факт, что они разработали вредоносное ПО для заражения пользователей MacOS в дополнение к пользователям, использующим Windows и, скорее всего, даже создали полностью поддельную компанию и программный продукт, чтобы иметь возможность доставлять эту вредоносную программу, не обнаруженную решениями безопасности, означает, что они видят потенциально большие прибыли во всей этой деятельности.

В начале июля группа исследователей безопасности обнаружила атаки вредоносных программ для macOS, нацеленные на пользователей Slack и Discord, которые рассказывают о криптовалютах. Хакеры вычисляют людей, проявляющих подобную активность, а затем используют «небольшие фрагменты», которые загружаются и запускают вредоносные двоичные коды.