23.08.2018 Новости, БезопасностьИсследователи из «Лаборатории Касперского» обнаружили новую вредоносную операцию известной группировки Lazarus. Атака получила название AppleJeus, и её целью стала криптовалютная биржа в Азии. В сеть жертвы злоумышленники проникли с помощью заражённого ПО для торговли криптовалютами. Примечательно, что атакующие использовали две версии зловреда: для Windows и для macOS. И это первый известный образец macOS-вредоноса в арсенале Lazarus. Аналитики «Лаборатории Касперского» выяснили, что успеху атаки сопутствовал человеческий фактор. Ничего не подозревающий сотрудник компании-жертвы скачал стороннее приложение с сайта разработчика ПО для торговли криптовалютами. Сайт при этом выглядел вполне легитимно. Код приложения, оказавшегося вредоносным, в целом не вызывает подозрений, за исключением одного компонента, отвечающего за обновления. В легитимном ПО подобные модули используются для загрузки новых версий программы. Однако в случае AppleJeus этот компонент применялся для «разведки» и сбора информации: программа собирала базовые данные о компьютере, отправляла их злоумышленникам, и если те решали, что жертва им интересна, загружала вредоносный код под видом обновления. Зловред, попадавший на заражённые компьютеры, оказался хорошо известен исследователям: это троянец Fallchill — старый инструмент Lazarus, к которому группировка недавно решила вернуться. Именно этот факт и позволил аналитикам сделать предположение, кто стоит за атакой AppleJeus. После установки Fallchill ...
читать далее.