Severní Korea hackuje kryptoměnové burzy i malwarem pro macOS
24.8.2018, Milan Šurkala, aktualita
Už ani zařízení s operačním systémem macOS si nemohou být moc jistá před viry. Hackerská skupina Lazarus totiž útočí na kryptoměnové burzy nejen malwarem pro Windows, ale nově už také pro Apple macOS.
Hackeři jdou velmi rádi po penězích, a proto není divu, že v poslední době často útočí na kryptoměnové burzy. Kaspersky Lab našla nový malware, za kterým stojí známá hackerská skupina Lazarus ze Severní Koreje, která má podle všeho na svědomí ransomware WannaCry nebo hack společnosti Sony z roku 2014. Nyní se soustředí na burzy s populárními kryptoměnami a pozoruhodné je zejména to, že nenapadá jen počítače s operačním systémem Windows, ale už vyrobila verzi malwaru pro macOS a patrně chystá dokonce i variantu pro operační systém Linux. Poslední malware byl společností Kaspersky pojmenován jako Operation AppleJeus.
www.elbpresse.de [CC BY-SA 4.0 (http://creativecommons.org/licenses/by-sa/4.0)], přes Wikimedia Commons
Pokud jde o verzi pro Windows, tak ta se tváří jako legitimní aplikace Celas Trade Pro od společnosti Celas Limited a je určena k obchodování na kryptoměnových burzách (na stránkách je verze pro Windows, macOS a autoři zmiňují blízký příchod verze pro Linux). Samotný instalátor se tváří být v pohodě, nicméně ke konci instalace chce "aktualizovat", spustí proces Updater.exe a ten z počítače oběti vytáhne informace o systému, které v zašifrované podobě podobě pošle na server útočníků.
Tato data jsou zaslána jako nevině se tvářící GIF soubor. Server odpoví a v některých případech zašle závadný spustitelný soubor (malware, backdoor Fallchill). V podstatě velmi podobně funguje i verze pro macOS, kde rovněž k infekci dochází pomocí "aktualizace". Obě aplikace, jak verze pro Windows i macOS, využívají framework Qt.
Zatím není jasné, jakým způsobem byla aplikace Celas Trade Pro infikována. Možností je více. Hackeři mohli napadnout jejich servery a modifikovat instalátor aplikace, nicméně je také možné, že celá firma Celas Limited je jen krycí společností této hackerské skupiny. Každopádně to vypadá, že hackeři se začínají dívat i po dalších platformách, kde si uživatelé byli doposud až příliš jistí jsou bezpečností. Možná o to zranitelnější nyní budou a útočníci z nich získají mnohem více, přestože jsou v nižším počtu.
Zdroj: securityweek.com, securelist.com