L’inviolabilità dei dispositivi Apple subisce un colpo dal gruppo di hacker Lazarus, che ha messo a punto un sistema malevolo, “AppleJeus”, in grado di attaccare anche i dispositivi che utilizzano i sistemi operativi MacOs. Per testarlo i criminali informatici hanno preso di mira un network di cambio di cryptovalute asiatico e, dopo aver modificato un software che è regolarmente sul mercato hanno tentato di rubare le unite virtuali alle loro vittime. In questo caso però oltre al malware basato su Windows hanno messo in campo anche un suo “gemello” per prendere di mira le piattaforme MacOs.
A scoprire l’operazione sono stati i ricercatori di Kaspersky Lab,
A consentire l’inizio dell’operazione un dipendente incauto, che ha scaricato un’applicazione di terze parti dal sito web legittimo di un’azienda che sviluppa software per il trading di cryptovaluta: un codice non sospetto, ad eccezione di un suo aggiornamento.
AppleJeus, spiega Kaspersky Lab, si comporta come un modulo di ricognizione: prima raccoglie le informazioni di base sul computer su cui è stato installato e successivamente invia queste informazioni al server di comando e controllo e se gli aggressori decidono che il computer merita d’esser attaccato, il codice dannoso ritorna sotto forma di un aggiornamento software. “L’aggiornamento dannoso – si legge in un nota della società specializzata in sicurezza informatica – installa un trojan noto come Fallchill, un vecchio tool che il gruppo Lazarus è tornato recentemente ad usare, e che fornisce agli aggressori un accesso quasi illimitato al computer attaccato, consentendo loro di rubare preziose informazioni finanziarie o di distribuire tool aggiuntivi a tale scopo”.
Il fornitore del software di trading di criptovaluta utilizzato per inviare il payload dannoso ai computer delle vittime, spiegano i ricercatori, dispone di un certificato digitale valido per la firma del suo software e record di registrazione che sembrano legittimi per il dominio. Tuttavia, almeno sulla base di informazioni pubblicamente disponibili, i ricercatori di Kaspersky Lab non sono stati in grado di identificare alcuna organizzazione legittima con sede all’indirizzo utilizzato nelle informazioni del certificato.
“All’inizio del 2017, abbiamo notato un crescente interesse del gruppo Lazarus per i mercati delle cryptovalute, quando il software di mining Monero è stato installato su uno dei loro server da un operatore Lazarus – afferma Vitaly Kamluk, Head of Great Apac team di Kaspersky Lab – Da allora, sono stati individuati più volte prendere di mira i cambi di cryptovaluta e tradizionali organizzazioni finanziarie. Il fatto che abbiano sviluppato malware per infettare gli utenti di macOS in aggiunta agli utenti di Windows e, molto probabilmente, persino creato una società di software e un prodotto software completamente falsi per essere in grado di fornire questo malware che non viene rilevato dalle soluzioni di sicurezza, significa che vedono profitti potenzialmente grandi nell’intera operazione e dovremmo aspettarci sicuramente più casi simili nel prossimo futuro. Per gli utenti macOS, questo caso è un campanello d’allarme, soprattutto se utilizzano i propri Mac per eseguire operazioni con criptovalute”.
