Phát hiện biến thể của Lazarus săn tiền mã hóa bằng phần mềm độc hại trên MacOS

Thứ hai - 27/08/2018 13:01
AppleJeus, tên gọi mới của băng nhóm Lazarus khét tiếng được phát hiện xâm nhập vào mạng lưới trao đổi tiền điện tử ở châu Á bằng phần mềm giao dịch tiền mã hóa. Mục tiêu chính là đánh cắp tiền mã hóa của nạn nhân. Ngoài những phần mềm độc hại nhắm vào Windows, Kaspersky Lab còn tìm thấy một phiên bản đang cố tấn công vào MacOS.

Đây là trường hợp đầu tiên mà các nhà nghiên cứu của Kaspersky Lab thấy băng nhóm Lazarus phát tán các phần mềm độc hại nhắm vào người sử dùng hệ điều hành MacOS, và đây chính là “hồi chuông cảnh tỉnh” đến tất cả những người sử dụng nền tảng này khi thực hiện các trao đổi có liên quan đến tiền điện tử.

Theo phân tích từ GReAT, sự xâm nhập vào cơ sở hạ tầng của sàn giao dịch chứng khoán bắt đầu khi một nhân viên trong công ty không hề hoài nghi mà tải ứng dụng của bên thứ ba từ một trang web có diện mạo như của một doanh nghiệp chính thống dùng cho mục đích phát triển phần mềm kinh doanh tiền điện tử.

Mã ứng dụng không có gì đáng nghi ngờ chỉ trừ duy nhất một thứ: chương trình cập nhật. Trong phần mềm chính thống, các thành phần này được sử dụng để tải xuống các phiên bản cập nhật mới. Với AppleJeus, phần mềm này hoạt động như một module thăm dò: đầu tiên là thu thập thông tin cơ bản về máy tính có chứa nó, sau đó gửi thông tin này lại cho máy chủ C&C và nếu những kẻ tấn công xác định rằng máy tính này có giá trị để tấn công thì mã độc sẽ được gửi trở lại dưới hình thức của một phần mềm cập nhật. Bản cập nhật độc hại này có cài đặt Trojan, còn được gọi là Fallchill, một công cụ cũ mà nhóm Lazarus gần đây đã bắt đầudùng trở lại - giúp các nhà nghiên cứu càng có cơ sở để đánh giá. Sau khi được cài đặt, Trojan Fallchill sẽ đem lại cho những kẻ tấn công quyền truy cập gần như không giới hạn vào các máy tính, cho phép chúng ăn cắp các thông tin tài chính có giá trị hoặc triển khai những công cụ bổ sung nhằm đạt được mục đích đó.

Tình hình càng nghiêm trọng hơn bởi thực tế là những tên tội phạm đã phát triển phần mềm cho cả hai nền tảng Windows và macOS. Trong đó, Windows là nền tảng chịu nhiều rủi ro hơn so với MacOS. Các chức năng của phần mềm độc hại trên cả hai nền tảng này chính xác là như nhau.

Một điều bất thường về sự hoạt động của AppleJeus là dù nhìn nó có vẻ như một cuộc tấn công dạng chuỗi cung ứng, thì trên thực tế lại không phải vậy. Các nhà cung cấp phần mềm giao dịch tiền điện tử dùng để gửi các tệp tin độc hại tới máy tính của nạn nhân đều có một chứng nhận kỹ thuật số hợp lệ để đánh dấu phần mềm của họ và hồ sơ đăng ký tên miền chính thống. Tuy nhiên, dựa trên dữ liệu công khai sẵn có, các nhà nghiên cứu Kaspersky Lab đã không thể xác định được bất kỳ tổ chức hợp pháp nào hoạt động ở địa chỉ được sử dụng trong các thông tin chứng nhận đó.

Vitaly Kamluk, Trưởng nhóm GReAT APAC tại Kaspersky Lab nhận thấy một sự quan tâm ngày càng tăng của băng nhóm Lazarus đối với thị trường tiền điện tử vào đầu năm 2017, khi phần mềm khai thác Monero được cài đặt trên một trong các máy chủ bởi kẻ điều khiển Lazarus. Kể từ đó, chúng đã bị phát hiện nhiều lần khi cố tấn công vào các giao dịch tiền điện tử bên cạnh các tổ chức tài chính. Thực tế, khi chúng phát triển phần mềm độc hại để lây nhiễm cho cả người dùng hệ điều hành macOS lẫn Windows hoặc thậm chí là tạo ra một công ty phần mềm và các sản phẩm giả mạo để có thể phân phối phần mềm độc hại mà không bị phát hiện bởi các giải pháp bảo mật. Điều này nghĩa là chúng nhìn thấy được rất nhiều lợi nhuận tiềm năng trong toàn bộ hoạt động, và chúng ta chắc chắn còn bắt gặp nhiều trường hợp như vậy trong tương lai gần. Đối với những người dùng macOS thì trường hợp này là một hồi chuông cảnh tỉnh, đặc biệt lànếu họ sử dụng máy Mac để thực hiện các hoạt động trao đổi tiền điện tử.

Nhóm Lazarus, được biết đến vớicáchoạt động phức tạp và có liên kết với Bắc Triều Tiên được chú ý đến không chỉ vì các cuộc tấn công phá hoại mạng và không gian mạng, mà còn là các cuộc tấn công vụ lợi tài chính. Một số nhà nghiên cứu, kể cả ở Kaspersky Lab, trước đó đã tố cáo về nhóm này vì nhắm vào các ngân hàng và các doanh nghiệp tài chính khác nhau.

Để bảo vệ bản thân và công ty khỏi các cuộc tấn công mạng tinh vi từ những băng nhóm như Lazarus, các chuyên gia bảo mật của Kaspersky Lab khuyến nghị:

 

 

Tác giả bài viết: Hồng Oanh

Nguồn tin: Báo PCWorld Việt Nam

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Một 'kì phùng địch thủ' của Steve Jobs sau một thời gian gặp...

Một 'kì phùng địch thủ' của Steve Jobs sau một thời gian gặp...

14:01 05/03/2019 - Lượt xem 11

Ông Sim Wong Hoo chưa từng lấy vợ, và cho rằng hôn nhân là...

Cùng Acer Swift Series chào xuân với quà tặng Vali cực...

Cùng Acer Swift Series chào xuân với quà tặng Vali cực...

14:01 05/03/2019 - Lượt xem 10

Từ nay đến hết ngày 10/04/2019, khi mua các dòng laptop cao...

Chuẩn USB4 chính thức ra mắt, tốc độ truyền dữ liệu có thể...

Chuẩn USB4 chính thức ra mắt, tốc độ truyền dữ liệu có thể...

14:01 05/03/2019 - Lượt xem 12

Tuy nhiên, có thể phải tới năm 2020 USB4 mới trở nên...

Ngắm ý tưởng watchOS 6 với vòng đo thời gian ngủ, nhịp tim,...

Ngắm ý tưởng watchOS 6 với vòng đo thời gian ngủ, nhịp tim,...

14:01 05/03/2019 - Lượt xem 18

Còn khoảng vài tháng tới trước khi Apple hé lộ phiên bản...

5 “Thuốc tăng lực” cực hữu ích dành cho những ai hay sử dụng...

5 “Thuốc tăng lực” cực hữu ích dành cho những ai hay sử dụng...

14:01 05/03/2019 - Lượt xem 12

Nếu bạn hay sử dụng Google Drive cho công việc, hãy xem qua...

VinGroup khai trương công ty công nghệ đầu tiên trên chính...

VinGroup khai trương công ty công nghệ đầu tiên trên chính...

14:01 05/03/2019 - Lượt xem 12

Vingroup đã chính thức khai trương Công ty VinTech tại Hàn...

Theo New York Times: Huawei chuẩn bị khởi kiện chính phủ Mỹ...

Theo New York Times: Huawei chuẩn bị khởi kiện chính phủ Mỹ...

14:01 05/03/2019 - Lượt xem 10

Huawei cho rằng việc chính phủ Mỹ cấm các cơ quan liên bang...

Hơn 300 triệu tin nhắn riêng tư của người Trung Quốc bị tiết...

Hơn 300 triệu tin nhắn riêng tư của người Trung Quốc bị tiết...

14:01 05/03/2019 - Lượt xem 14

Từ cơ sở dữ liệu bị rò rỉ này, bất kỳ ai truy cập được nó...

Đẳng cấp Minh Nhựa: Tậu thêm Mercedes-AMG G63 hơn 10 tỷ

Đẳng cấp Minh Nhựa: Tậu thêm Mercedes-AMG G63 hơn 10 tỷ

14:01 05/03/2019 - Lượt xem 9

Mới đây đại gia siêu xe...

Honda Việt Nam: Định hướng hoạt động đua xe thể thao trong...

Honda Việt Nam: Định hướng hoạt động đua xe thể thao trong...

14:01 05/03/2019 - Lượt xem 11

Thông qua hoạt động đua...

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây