По данным «Лаборатории Касперского», известная группировка Lazarus атаковала криптовалютную биржу в Азии с помощью зловреда для торговли криптовалютами для Windows и для macOS. Атака получила название AppleJeus, и это первый известный образец macOS-вредоноса в арсенале Lazarus.

Аналитики выяснили, что к атаке привел сотрудник компании-жертвы, который скачал стороннее приложение с сайта разработчика ПО. Код приложения, оказавшегося вредоносным, в целом не вызываел подозрений, за исключением одного компонента, который применялся для «разведки» и сбора информации. Зловред оказался хорошо известен исследователям: это троянец Fallchill – старый инструмент Lazarus, к которому группировка недавно решила вернуться, говорится в сообщении «Лаборатории Касперского».

Разработчик ПО для торговли криптовалютами, который был выбран для доставки зловреда на компьютеры жертв, имеет действующий цифровой сертификат для подписи своих программ, а его регистрационные доменные записи выглядят легитимно. Однако эксперты «Лаборатории Касперского» не смогли идентифицировать ни одну легальную организацию, которая была бы размещена по адресу, указанному в информации о сертификате.

По словам Юрия Наместникова, руководителя российского исследовательского центра «Лаборатории Касперского», Lazarus видит в операции AppleJeus потенциально большую выгоду, и в ближайшем будущем подобных атак может стать больше. А для пользователей macOS это должно стать своего рода сигналом тревоги, особенно если они используют свои Mac-компьютеры для операций с криптовалютами.