Lazarus Group在加密货币交易中部署其首个Mac恶意软件

据俄罗斯反病毒厂商卡巴斯基实验室称，几年前攻击索尼电影的朝鲜黑客拉撒路集团已经部署了他们的第一台Mac恶意软件。

在与Bleeping Computer事先分享的报告中，卡巴斯基研究人员透露，Lazarus Group入侵了亚洲加密货币交易平台的IT系统。

卡巴斯基发言人告诉Bleeping Computer，媒体尚未报道此平台的黑客行为。

卡巴斯基实验室GReAT APAC主管Vitaly Kamluk今天通过电子邮件告诉Bleeping Computer，“该公司被成功破坏，但我们并未意识到任何经济损失。” “我们假设的威胁是根据我们的通知得出的。”

员工下载木马程序后，交换机被黑了

卡巴斯基实验室以AppleJeus行动代号进行分析的黑客攻击是在交易所的一名员工从一个声称来自开发加密货币交易软件的公司的合法网站下载了一个应用程序之后发生的。

但该应用程序是假的，并感染了恶意软件。在Windows上，该应用程序已下载并感染了Fallchill用户，这是一种远程访问木马（RAT），至少自2016年以来已与Lazarus Group关联，当时它首次部署在实时广告系列中。

但与之前的Lazarus运营不同，黑客还部署了Mac恶意软件，这是他们之前没有做过的事情。恶意软件隐藏在同一加密货币交易软件的Mac版本中。

专家说，在受污染的应用程序中，Windows和Mac恶意软件都不可见。Lazarus运营商没有直接在第三方应用程序中嵌入恶意软件，只是修改了其更新组件以便在以后下载恶意软件。

恶意软件证书之谜

此外，木马化的加密货币交易软件也由有效的数字证书签署，允许它绕过安全扫描。

这个证书的一个大谜是它是由卡巴斯基专家说他们无法证明它曾经存在于证书信息中的地址的公司发行的。

“除了Windows用户之外，他们还开发了感染恶意软件以感染macOS用户的事实，最有可能的是 ，甚至创建了一个完全虚假的软件公司和软件产品，以便能够提供安全解决方案未检测到的恶意软件，这意味着他们可能会看到在整个运营中获得了巨大的利润，我们当然应该期待在不久的将来有更多此类案例，“Kamluk说。

卡巴斯基没有说出被黑客入侵的加密货币交换

今年有几家网络安全公司多次指出，自2017年初以来，朝鲜黑客对渗透加密货币交易所和金融机构表现出极大的兴趣，从那里他们窃取了后来带回朝鲜的资金。

在过去的一年中，一些亚洲加密货币交易平台遭遇安全事件，主要是位于韩国的交易平台。Bithumb，Yapizon，YouBit，Coinrail和Bithumb再次报道了黑客行为。

卡巴斯基没有在其报告的中心透露加密货币交易所的名称，但告诉了Bleeping Computer。

本周，美国网络安全公司Trend科技公布了针对韩国组织的供应链攻击，但没有将攻击归咎于朝鲜，也没有明确指出黑客入侵加密货币交换平台。

“我们意识到今年韩国对供应链的攻击波动，但AppleJeus与这些攻击无关，”Kamluk告诉Bleeping Computer。“受害者不在韩国。”