Обнаружено новое вредоносное ПО, которое работает под видом клиентского торгового программного обеспечения под названием «JTM Trading Software» и разработано в известной северокорейской хакерской группе Lazarus APT Group. Данная хакерская программа распространяется по электронной почте и заражает персональные компьютеры пользователей.
Для того, чтобы все выглядело абсолютно легально и не вызывало подозрений у пользователя, разработчики вредоносного ПО даже официально создали компанию «Celas Trade Pro», и разработали убедительно выглядящий веб-сайт и профиль на GitHub, чтобы подавить подозрения, связанные с их хакерским ПО.
После установки базового приложения запускается скрипт для установки бэкдора в системе пользователя. Эта бэкдор будет выполняться каждый раз, когда компьютер перезагружается, гарантируя, что он всегда работает в фоновом режиме.
Бэкдор по-видимому позволяет удаленному злоумышленнику выполнять скрытые команды оболочки в системе пользователя, что может позволить хакеру легко выполнить фильтрацию данных на удаленном сервере (IP: 185.228.83.32), отслеживая текущее состояние зараженной системы и установку дополнительных вредоносных программ в автоматическом режиме.
Согласно отчету компании Objective-See, данное вредоносное ПО, по-видимому, основано на коде ранее обнаруженного безымянного бэкдора и, вероятно, создается северокорейской командой, известной как Lazarus.
«Возможность удаленного выполнения команд, несомненно, дает хакерам полный и расширяемый контроль над зараженной системой, даже в случае с MacOS!» отмечает исследователь безопасности Патрик Уордл.
Что особенно опасно в хакерском JTM Trading, так это то, что всего несколько дней назад данное вредоносное ПО было совершенно необнаружимо большинством популярных антивирусов, причем согласно VirusTotal 2/3 антивирусов по-прежнему не распознают его.
ПО нацелено только на устройства под управлением macOS — возможно, одну из самых безопасных операционных систем, используемых сегодня.
За это отвечает программное обеспечение Apple Gatekeeper, которое гарантирует, что пользователи macOS могут легко устанавливать приложения только от надежных поставщиков или же должны вручную подтвердить, что они хотят открывать ненадежные приложения, с помощью многоэтапного процесса, который предупреждает пользователей об этом на каждом этапе.
Чтобы избежать этой проблемы, поставщики программного обеспечения MacOS должны быть частью программы Apple Developer Program или Apple Developer Enterprise Program, которая позволит им получить сертификат Developer ID и подписать ним свое программное обеспечение, прежде чем передавать его на нотариальное заверение Apple. Тем не менее, фальшивые компании, распространяющие программное обеспечение, зараженное вирусами, почти наверняка не получат сертификат Developer ID, что означает, что любое вредоносное ПО, распространяемое среди целевой жертвы, необходимо будет установить и активировать вручную.
Как и его предшественник, похоже, что новое вредоносное ПО нацелено на тех, кто имеет доступ к внутренней инфраструктуре криптовалютных бирж. После установки вредоносная программа, скорее всего, будет использоваться для кражи закрытых ключей и доступа к данным, которые затем можно будет использовать для опустошения депозитов пользователей.
Напомним, ранее мы писали, что Северная Корея активно задействует хакеров для кражи криптовалюты.
Читайте также:
Хакерское ПО крадет данные пользователей для воровства криптовалюты
Обнаружено хакерское ПО, использующее облачные сервера для майнинга Monero
Хакерское ПО Masad Stealer подменяет адреса кошельков во время отправки транзакций