I ricercatori di Kaspersky Lab hanno identificato in AppleJeus una nuova attività malevola del gruppo hacker Lazarus per rubare criptovaluta alle vittime.
Vitaly Kamluk, Head of GReAT APAC team di Kaspersky Lab
All’inizio del 2017, abbiamo notato un crescente interesse del gruppo Lazarus per i mercati delle criptovalute, quando il software di mining Monero è stato installato su uno dei loro server da un operatore Lazarus. Da allora, sono stati individuati più volte prendere di mira i cambi di criptovaluta e tradizionali organizzazioni finanziarie. Il fatto che abbiano sviluppato malware per infettare gli utenti di macOS in aggiunta agli utenti di Windows e, molto probabilmente, persino creato una società di software e un prodotto software completamente falsi per essere in grado di fornire questo malware che non viene rilevato dalle soluzioni di sicurezza, significa che vedono profitti potenzialmente grandi nell’intera operazione e dovremmo aspettarci sicuramente più casi simili nel prossimo futuro. Per gli utenti macOS, questo caso è un campanello d’allarme, soprattutto se utilizzano i propri Mac per eseguire operazioni con criptovalute.
Oltre al malware basato su Windows, i ricercatori hanno identificato una versione sconosciuta che prende di mira le piattaforme macOS.
È il primo caso in cui i ricercatori hanno osservato il gruppo Lazarus distribuire malware destinato ad utenti macOS, un campanello d’allarme per tutti coloro che utilizzano questo sistema operativo per attività correlate alle criptovalute.
Il codice dell’applicazione non è sospetto, ad eccezione di un componente: un aggiornamento. Nel software legittimo tali componenti vengono utilizzati per scaricare nuove versioni dei programmi.
Nel caso di AppleJeus, si comporta come un modulo di ricognizione: prima raccoglie le informazioni di base sul computer su cui è stato installato e successivamente invia queste informazioni al server di comando e controllo e se gli aggressori decidono che il computer merita d’esser attaccato, il codice dannoso ritorna sotto forma di un aggiornamento software.
L’aggiornamento dannoso installa il trojan Fallchill, vecchio tool che Lazarus ha ricominciato a usare. Il trojan Fallchill fornisce agli aggressori un accesso quasi illimitato al computer attaccato, consentendo di rubare informazioni finanziarie o di distribuire tool aggiuntivi a tale scopo.
La situazione è stata aggravata dal fatto che i criminali hanno sviluppato software sia per la piattaforma Windows che per la piattaforma macOS.
Quest’ultima è generalmente molto meno esposta alle minacce informatiche rispetto a Windows.
Un’altra cosa insolita dell’operazione AppleJeus è che mentre sembra un attacco supply-chain, in realtà, non lo è.
Il fornitore del software di trading di criptovaluta utilizzato per inviare il payload dannoso ai computer delle vittime dispone di un certificato digitale valido per la firma del suo software e record di registrazione che sembrano legittimi per il dominio.
Per proteggere se stessi e la propria azienda dagli attacchi informatici di gruppi come Lazarus:
• non fidarsi automaticamente del codice in esecuzione sui propri sistemi. Né un sito web dall’aspetto autentico, né un solido profilo aziendale, né certificati digitali garantiscono l’assenza di backdoor.
• Utilizzare soluzioni di sicurezza dotate di tecnologie di rilevamento del comportamento malevolo che consentano di bloccare anche minacce precedentemente sconosciute.
• Iscrivere il team di sicurezza della propria organizzazione a un servizio di qualità di reporting di intelligence delle minacce per ottenere un accesso tempestivo alle informazioni sugli sviluppi più recenti delle tattiche, tecniche e procedure di sofisticati autori di minacce.
• Usare l’autenticazione multi-fattore e portafogli hardware se si ha a che fare con transazioni finanziarie significative. A tale scopo, utilizzare preferibilmente un computer stand-alone isolato, non utilizzato per navigare in Internet o leggere la posta elettronica.