Северокорейские хакеры заразили одну из крупных азиатских криптовалютных бирж вредоносным ПО, которое может проникать и заражать как Windows, так и macOS, сообщают эксперты «Лаборатории Касперского».
Эксперты обнаружили новую кампанию северокорейской группировки Lazarus, известной своими атаками на Sony Pictures и многочисленные финансовые учреждения, например кражей $81 миллиона у Центробанка Республики Бангладеш.
В этот раз злоумышленники решили поживиться криптовалютой. Чтобы добраться до кошельков жертв, они запустили зловред в корпоративные сети криптовалютных бирж. Преступники использовали человеческий фактор, причем со знанием дела.
По традиции, проникновение в сеть началось с электронной почты. По меньшей мере один из сотрудников биржи получил письмо с предложением установить приложение для трейдинга Celas Trade Pro производства компании Celas Limited.
Любопытно, что разработчик этого софта имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Но эксперты не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.
После того как сотрудник криптовалютной биржи успешно установил Celas Trade Pro на свой компьютер, приложение тут же захотело обновиться. Для этого оно обратилось к серверу, принадлежащему компании-разработчику, что также не выглядело подозрительно. Под видом апдейтов на компьютер жертвы загружаются вредоносные компоненты: это, в частности, троян Fallchill — старый инструмент Lazarus.
«После установки Fallchill предоставляет атакующим практически неограниченный доступ к компьютеру жертвы, позволяя им красть ценную финансовую информацию или развёртывать дополнительные инструменты в зависимости от цели и обстоятельств», — отмечает «Лаборатория Касперского»
В отчёте также говорится, что «злоумышленники не пожалели времени и разработали вредоносные программы для других платформ, включая macOS – чтобы операционная система не стала препятствием для инфицирования целей. В скором будущем, согласно их веб-сайту, должна появиться и версия для Linux. Это, возможно, первый на нашей памяти случай, когда эта группа использует вредоносное ПО для macOS».
Целями Lazarus не раз становились южнокорейские биржи – согласно отчёту американской фирмы Recorded Future, тоже занимающейся кибербезопасностью, ранее эта хакерская группа предприняла несколько попыток атаковать платформы Bithumb, YouBit и Coinlink.