macOS na celu koreańskich cyberprzestępców, portfolio ataków rośnie

W niedawnym ataku na giełdę wymiany kryptowalut mogliśmy zaobserwować coś nowego – poza tradycyjnymi wektorami cyberprzestępcy wykorzystali też aplikację dla macOS-a.

Informację o ataku podał Kaspersky Lab, a wszystko wskazuje na to, że stoją za nim członkowie grupy Lazarus, powiązanej z Koreą Północną. Grupa znana jest z wielu ataków na ogromną skalę, w tym włamanie do Sony z 2014 roku i WannaCry. Lazarus skupiał się na atakowaniu banków, ale od kilku miesięcy jego celem są też giełdy kryptowalut.

W jednym z ataków, przez Kaspersky Lab nazwanym Operation AppleJeus, atakujący wykorzystali mechanizm aktualizacji aplikacji do handlu kryptowalutami Celas Trade Pro, produkowanej przez Celas LLC. Droga do tego ataku nie jest niestety znana. Szkodliwa aplikacja działała normalnie i nie budziła podejrzeń, ale w tle ściągała malware Fallchill, służący do wykradania informacji i wykonywania poleceń na komputerze ofiary.

Malware nie był jednak ściągany od razu, ale jako aktualizacja, co jest bardzo dobrym posunięciem od strony inżynierii społecznej. Po zakończeniu instalacji proces ściągający aktualizację przesyłał nie budzący podejrzeń plik GIF do serwera macierzystego. W nim były zawarte informacje o infekowanym systemie i unikatowy identyfikator maszyny. Na podstawie tych danych podejmowana była decyzja, czy należy podjąć dalsze działania. Jeśli tak, aktualizator rozpakowywał i odszyfrowywał dodatkowe dane kluczem swoim kluczem, by otrzymać kolejny plik wykonywalny.

Na systemie macOS, dla którego również dostępna jest aplikacja Celas Trade Pro, także instalował się program do automatycznej aktualizacji. Proces startował zaraz po instalacji i po każdym ponownym uruchomieniu systemu z argumentem CheckUpdate, ale nie był widoczny w Finderze i łatwo go było przeoczyć. Program uruchamiany bez argumentu natychmiast kończy pracę, prawdopodobnie by oszukać izolowane „piaskownice”. Fałszywy aktualizator pozostawał w ciągłym kontakcie z serwerem kontrolującym i w razie potrzeby mógł w każdej chwili pobrać dodatkowe, szkodliwe pliki wykonywalne. Komunikacja z serwerem była zakamuflowana identycznie, jak na Windowsie – dane ukryte w obrazkach.

Ciekawe jest jednak to, że grupa Lazarus po raz pierwszy atakowała nie tylko system Windows, ale też macOS. Fakt, że grupa odpowiedzialna za tak poważne ataki poszerzyła portfolio o system macOS jest wart odnotowania. Być może to znak, by użytkownicy komputerów działających pod kontrolą innych systemów niż Windows zaczęli zwracać większą uwagę na swoje bezpieczeństwo. Mała popularność systemu Apple, a przez to niewiele ataków wymierzonych przeciwko niemu mogły uśpić naszą czujność.

Specjaliści z Kaspersky Lab przypuszczają, że grupa Lazarus poszerzyła zakres działań z powodu ogromnej popularności Maców wśród programistów. Atakując komputery autorów oprogramowania mogą dzięki temu mieć dostęp do programów na wczesnym etapie powstawania i wywołać większy chaos.