Хакерская группировка Lazarus атаковала криптовалютную биржу в Азии с помощью зловреда для торговли криптовалютами для Windows и для macOS, свидетельствуют данные «Лаборатории Касперского». Атака получила название AppleJeus, и это первый известный образец macOS-вредоноса в арсенале Lazarus.

Аналитики выяснили, что к атаке привели действия сотрудника компании-жертвы, который скачал стороннее приложение с сайта разработчика ПО. Код приложения, оказавшегося вредоносным, в целом не вызывал подозрений, за исключением одного компонента, который применялся для «разведки» и сбора информации. Зловред оказался хорошо известен исследователям: это троянец Fallchill — старый инструмент Lazarus, к которому группировка недавно решила вернуться, говорится в сообщении «Лаборатории Касперского».

Разработчик ПО для торговли криптовалютами, который был выбран для доставки зловреда на компьютеры жертв, имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Однако эксперты «Лаборатории Касперского» не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

По словам руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, Lazarus видит в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше. А для пользователей macOS это должно стать своего рода сигналом тревоги, особенно если они используют свои Mac-компьютеры для операций с криптовалютами.