Σύμφωνα με τους ερευνητές της Kaspersky, οι οποίοι ανέλυσαν τις επιθέσεις που πραγματοποίησε η ομάδα Lazarus τους τελευταίους 18 μήνες, επιβεβαιώνεται ότι η ομάδα που σχετίζεται με τη Βόρειο Κορέα, στοχεύει κυρίως συναλλαγές cryptocurrency.
Όπως ανακάλυψαν οι ειδικοί ασφαλείας στα μέσα του 2018, η ομάδα στόχευσε εταιρείες και συναλλαγές cryptocurrency, μέσω μια καμπάνιας που ονομάστηκε Operation AppleJeus, η οποία αποσκοπούσε στην εξάπλωση μιας μολυσμένης εφαρμογής συναλλαγών cryptocurrency.
Μετά την κυκλοφορία του Operation AppleJeus, η ομάδα Lazarus πραγματοποίησε κι άλλες επιθέσεις εναντίον επιχειρήσεων cryptocurrency, χρησιμοποιώντας παρόμοιες τακτικές. Οι ερευνητές εντόπισαν περισσότερο κακόβουλο λογισμικό παρόμοιο με εκείνο του Operation AppleJeus.
Οι τρεις macOS installers που αναλύθηκαν από την Kaspersky, χρησιμοποιούν παρόμοιο σενάριο μετά την εγκατάσταση και όταν εκτελούν το payload δεύτερης φάσης. Ωστόσο, οι ερευνητές παρατήρησαν κι ένα διαφορετικό είδος malware macOS, το MarkMakingBot.dmg (be37637d8f6c1fbe7f3ffc702afdfe1d), που δημιουργήθηκε στις 12-03-2019.
Το κακόβουλο λογισμικό δεν διαθέτει ρουτίνα κρυπτογράφησης / αποκρυπτογράφησης για επικοινωνία μέσω δικτύου, γεγονός που υποδηλώνει ότι βρίσκεται ακόμη υπό ανάπτυξη.
Οι ειδικοί επεσήμαναν ότι ενώ το κακόβουλο λογισμικό των Windows που χρησιμοποιήθηκε στην καμπάνια είχε μόνο μικρές αλλαγές, το κακόβουλο λογισμικό macOS άλλαξε δραστικά.
Πρόσφατα, η Kaspersky ανίχνευσε ένα νέο macOS malware που χρησιμοποίησε μια κακόβουλη εφαρμογή που ονομάζεται UnionCryptoTrader. Η έκδοση των Windows για το ίδιο κακόβουλο λογισμικό εκτελείται από το φάκελο λήψης αρχείων του Telegram.
Ορισμένα από τα payloads εκτελέστηκαν στη μνήμη, με το backdoor payload να παραδίδεται στο τελικό βήμα της αλυσίδας επίθεσης.
Η Kaspersky εντόπισε αρκετά θύματα του AppleJeus, τα περισσότερα από τα οποία βρίσκονταν στο Ηνωμένο Βασίλειο, την Πολωνία, τη Ρωσία και την Κίνα, ενώ οι εμπειρογνώμονες επεσήμαναν ότι πολλοί από αυτούς συνδέονται με επιχειρηματικές οντότητες cryptocurrency.
