研究人員發(fā)現(xiàn)MacOS惡意軟件，可侵入加密貨幣交易所

安全軟件公司卡巴斯基實(shí)驗(yàn)室（Kaspersky Labs）的研究人員發(fā)現(xiàn)了一種新的MacOS（是一套運(yùn)行于蘋果Macintosh系列電腦上的操作系統(tǒng)，是首個(gè)在商用領(lǐng)域成功的圖形用戶界面操作系統(tǒng)。）惡意軟件，該軟件可以偽裝成合法的交易應(yīng)用，侵入加密貨幣交易所和其他易受攻擊的目標(biāo)。

同樣的威脅，一種新的安裝包和一種改頭換面的操作方式-這可能是描述新的這種叫“AppleJeus”的惡意軟件的最好措辭。它的設(shè)計(jì)目的是潛入MacOS系統(tǒng)，偽裝成合法的交易應(yīng)用，如果它們認(rèn)為受感染的機(jī)器值得追擊，就會(huì)對(duì)其造成巨大破壞。

卡巴斯基實(shí)驗(yàn)室的全球研究和分析小組的專家表示，“AppleJeus行動(dòng)”是Lazarus集團(tuán)（Lazarus Group）的杰作。Lazarus集團(tuán)是一個(gè)臭名昭著的黑客團(tuán)體，據(jù)傳聞與朝鮮政府有著千絲萬縷的聯(lián)系。該集團(tuán)被認(rèn)為是背后的一些高調(diào)違規(guī)在過去和眾所周知的動(dòng)機(jī)是財(cái)務(wù)目標(biāo)。

GReAT的研究人員在調(diào)查一個(gè)加密貨幣交易所的安全漏洞時(shí)遇到了AppleJeus。經(jīng)過進(jìn)一步的分析，他們認(rèn)為該惡意軟件是專門為攻擊運(yùn)行蘋果MacOS的系統(tǒng)而設(shè)計(jì)的。惡意軟件的主要目標(biāo)之一似乎是加密貨幣交易所。

考慮到這是Lazarus集團(tuán)第一個(gè)專門針對(duì)MacOS的同類惡意軟件，該集團(tuán)很可能正試圖轉(zhuǎn)向范圍更廣的目標(biāo)平臺(tái)。

GReAT的報(bào)告指出，還有一個(gè)Linux版本的AppleJeus。如果是這樣的話，這將意味著臭名昭著的黑客集體正專注于構(gòu)建不同版本的相同惡意軟件，最大限度地減少兼容性問題，從而造成最大程度的破壞?？ò退够鶎?shí)驗(yàn)室警告說，所有非Windows平臺(tái)都應(yīng)該把這看作是一個(gè)警鐘。

AppleJeus最令人震驚的一面是，它依賴于一款看似合法的交易應(yīng)用，名為CelasTradePro。該應(yīng)用程序的發(fā)行者Celas Limited擁有一份有效的數(shù)字證書，可以為其域名簽署軟件和看起來合法的注冊(cè)細(xì)節(jié)。

然而，進(jìn)一步的調(diào)查顯示，該公司提供的地址實(shí)際上是偽造的，并不以Celas Limited的名義經(jīng)營(yíng)任何業(yè)務(wù)。這可能是第一個(gè)主要線索，當(dāng)研究人員查看CelasTradePro的代碼時(shí)，他們發(fā)現(xiàn)了一些更令人不安的東西。

根據(jù)這份報(bào)告，一旦用戶下載并在運(yùn)行MacOS的計(jì)算機(jī)上安裝CelasTradePro，該應(yīng)用程序就會(huì)偷偷安裝一個(gè)隱藏的“自動(dòng)更新程序”。

現(xiàn)在，自動(dòng)更新在大多數(shù)應(yīng)用程序中是一個(gè)相當(dāng)常見的模塊。通常，他們的任務(wù)是在適當(dāng)?shù)挠脩魴?quán)限下自動(dòng)搜索和下載更新版本的應(yīng)用程序。

然而，在Celas Trade Pro的情況下，自動(dòng)更新程序被專門編程，在將數(shù)據(jù)發(fā)送到命令和控制服務(wù)器之前收集主機(jī)的信息。

然后，犯罪者攔截?cái)?shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行分析，以確定受感染的機(jī)器是否值得花時(shí)間。如果他們覺得“有趣”的話，下一步就是秘密下載一個(gè)名為FallChill的特洛伊木馬程序。如果不立即采取補(bǔ)救措施，F(xiàn)allChill可以為攻擊者提供幾乎無限的進(jìn)入受感染機(jī)器的機(jī)會(huì)，使黑客們能夠獲得有價(jià)值的財(cái)務(wù)數(shù)據(jù)（或他們想要的任何其他類型的數(shù)據(jù)）。