Uma nova operação maliciosa acaba de ser descoberta: o AppleJeus . Os criminosos invadiram a rede de uma bolsa de criptomoeda na Ásia usando um software de negociação de moedas criptografadas transformado em cavalo de Troia. O objetivo do ataque era roubar criptomoedas das vítimas. Além do malware para Windows, os pesquisadores conseguiram identificar uma versão ainda desconhecida direcionada à plataforma macOS.
Esta foi a primeira vez que os pesquisadores da Kaspersky Lab observaram o grupo Lazarus distribuindo um malware que visa usuários do macOS. Isso é um alerta para todos que usam esse sistema operacional para atividades que envolvem moedas criptografadas. A invasão da infraestrutura da bolsa de valores começou quando um funcionário da empresa baixou, de forma inocente, um aplicativo de terceiros de um site que parecia ser de um desenvolvedor de software de comercialização de criptomoeda.
O código do aplicativo não levanta suspeitas, exceto por conter um componente de atualização. Em softwares legítimos, esses componentes são usados para baixar novas versões do programa. No caso do AppleJeus, ele atua como um módulo de reconhecimento: primeiro, coleta informações básicas do computador em que foi instalado. Depois, envia essas informações para o servidor de comando e controle e, se os invasores decidirem que vale a pena invadir o computador, o código malicioso retorna na forma de uma atualização de software.
A atualização maliciosa instala um cavalo de Troia conhecido como Fallchill, uma ferramenta antiga que o grupo Lazarus voltou a utilizar recentemente. Isso deu aos pesquisadores uma base para a atribuição. Durante a instalação, o cavalo de Troia Fallchill possibilita o acesso praticamente ilimitado dos invasores ao computador atacado, permitindo o roubo de informações financeiras valiosas ou a implementação de outras ferramentas capazes de fazer isso.
A situação fica pior pelo fato de os criminosos terem desenvolvido o software para as plataformas Windows e macOS. Em geral, o Mac é muito menos vulnerável a ameaças cibernéticas que o Windows. A funcionalidade das duas versões da plataforma do malware é exatamente a mesma.
Um outro ponto incomum da operação do AppleJeus é que, embora pareça se um ataque à cadeia de fornecimento, na verdade, talvez não seja esse o caso. O fornecedor do software de negociação de criptomoeda que foi usado para entregar a carga maliciosa nos computadores das vítimas tem um certificado digital válido para assinar seu software e registros do domínio que parecem legítimos. No entanto, segundo as informações disponíveis publicamente, não foi possível identificar nenhuma organização verdadeira localizada no endereço usado nas informações do certificado.
O grupo Lazarus, conhecido por suas operações sofisticadas e seus vínculos com a Coreia do Norte, é famoso não apenas por seus ataques de espionagem e sabotagem cibernética, mas também pelos ataques com motivação financeira. Vários pesquisadores já relataram o grupo visando bancos e outras grandes corporações financeiras.
