El equipo de analistas de Investigación y Análisis Gobal de la firma de ciberseguridad Kaspersky Lab (GReAT) ha descubierto AppleJeus, una operación maliciosa del reconocido grupo Lazarus. Los ciberdelincuentes se colaorn en la red de un servicio de intercambio de criptomonedas en Asia empleando el software Trojanized con el objetivo de robar criptomonedas de las víctimas.
"Lazarus ya ha sido detectado varias veces atacando mercados de cambio de criptomonedas y otras entidades financieras normales"
Este informe marca la primera vez que el grupo Lazarus, conocido por sus sofisticadas operaciones y sus vínculos con Corea del Norte, ha distribuido malware dirigido a usuarios de macOS, marcando así un especial punto de interés para los que utilizan este sistema operativo en actividades relacionadas con las criptomonedas.
“A principios de 2017 notamos un creciente interés del grupo Lazarus en los mercados de criptomonedas, cuando un operador de Lazarus instaló el software de minería Monero en uno de los servidores. Desde entonces, ya ha sido detectado varias veces atacando mercados de cambio de criptomonedas y otras entidades financieras normales”, destaca Vitaly Kamluk, responsable del equipo APAC de GReAT en Kaspersky Lab.
Un fallo humano
Según los análisis del GReAT, la entrada en la infraestructura del servicio de intercambio comenzó cuando un empleado desprevenido descargó una app de terceros desde una web con una falsa apariencia legítima de una empresa que desarrolla software para el comercio de criptomonedas.
La entrada comenzó cuando un empleado desprevenido descargó una app de terceros desde una web con una falsa apariencia legítima
El código de esta app no es sospechoso, pero sí lo es el actualizador. En un software legítimo, estos componentes se emplean para descargar nuevas versiones de programas, sin embargo, en el caso de AppleJeus, actúa como un módulo de reconocimiento. En primer lugar, recopila información básica sobre el equipo en el que se ha instalado, después envía la información al servidor de comando y control y, si se decide atacar, el código malicioso vuelve en forma de una actualización de software. Entonces la actualización maliciosa instala un troyano conocido como Fallchill, una antigua herramienta que Lazarus ha vuelto a emplear en los últimos meses, es este hecho, en parte, por lo que GReAT atribuye a Lazarus este ciberataque.
Una vez se ha instalado, el troyano proporciona a los ciberatacantes acceso prácticamente ilimitado al ordenador, permitiendo así hacerse con información financiera o incluso implementar herramientas adicionales para hacerse con ella.
Ciberataque a Windows y macOS
El ciberataque es aún más grave si tenemos en cuenta que los ciberdelincuentes han desarrollado un software para ambas plataformas: Windows y macOS. Y es que el sistema de Apple es generalmente un OS menos expuesto a ciberamenazas que Windows. Según las investigaciones, la funcionalidad es exactamente la misma para ambas plataformas.
"Para los usuarios de macOS, este caso es una llamada de atención especialmente si utilizan sus Macs para realizar operaciones con criptomonedas"
Asimismo, la operación AppleJeus parece un ataque a la cadena de suministro, pero en realidad puede no sea ese el caso. El proveedor del software de intercambio de criptomonedas que se empleó para entregar el paquete malicioso tiene un certificado digital válido para firmar su software y registros de aspecto legítimo para el dominio, sin embargo, al menos sobre la base de información disponible públicamente, los analistas de la firma de ciberseguridad no han podido identificar ninguna organización legítima ubicada en la dirección utilizada en la información del certificado.
“El hecho de que hayan desarrollado malware para infectar a usuarios de macOS además de usuarios de Windows y, muy probablemente, incluso crearan una compañía de software y un producto de software completamente falsos para poder entregar este malware no detectado por soluciones de seguridad, significa que ven potencialmente grandes beneficios en toda la operación y que debemos esperar ver más casos similares en un futuro cercano”, explica Kamluk. “Para los usuarios de macOS, este caso es una llamada de atención especialmente si utilizan sus Macs para realizar operaciones con criptomonedas”, advierte el responsable.