“Lazarus” qruplaşması zərərverici “Mac” köməyi ilə kriptovalyuta birjasına hücum edib

KasperskyLab” şirkətinin tədqiqatçıları tanınmış “Lazarus” qruplaşmasının yeni zərərverici əməliyyatını aşkar edib. Hücum “AppleJeus” adını alıb və onun məqsədi Asiya kriptovalyuta birjası olub. Cinayətkarlar qurbanın şəbəkəsinə kriptovalyutanınalışı üçün nəzərdə tutulan yoluxdurulmuş proqram təminatının köməyi ilə daxil olub. Maraqlıdır ki, hücum edənlər zərərli proqramın iki versiyasını istifadə edib: “Windows” və “macOS” üçün. Və bu “Lazarus” arsenalında ilk məlum olan zərərli “macOS” nümunəsidir.

“KasperskyLab”ınanalitikərimüəyyən ediblər ki, hücumu uğura gətirən insan amili oldu. Heç nədən şübhələnməyənqurban-şirkətin əməkdaşı kriptovalyutanınalışı üçün nəzərdə tutulmuş proqram təminatının saytından yabançı əlavəni yükləmişdir. Bu zaman isə sayt tamamilə qanuni görünürdü.

Zərərli olan əlavənin kodu ümumilikdə şübhə doğurmur, yeniliyə cavabdeh olan bir komponent istisna olmaqla. Qanuni proqram təminatlarında bu modullar proqramın yeni versiyasının yüklənməsi üçün istifadə olunur.Lakin “AppleJeus” halında bu komponent “kəşfiyyat” və məlumatların toplanması üçün istifadə olunurdu: proqram kompüter haqqında baza məlumatları yığıb, onları cinayətkarlara göndərirdi və onlar qurbanın maraqlı olması haqqındaqərara gəldikləri halda, yenilik adı altında zərərli kodu yükləyirdi.Yoluxdurulmuş kompüterlərə daxil olan zərərli proqram tədqiqatçılara yaxşı məlum idi: bu “Lazarus”un köhnə aləti olan “Fallchill” troyanı idi və qruplaşma bu yaxınlarda bu alətə qayıtmağı qərara aldı.Məhz bu fakt analitiklərə “AppleJeus” hücumunun arxasında kimin olduğunu ehtimal etməyə imkan verdi.

“Fallchill” kompüterə daxil olandan sonra hücum edənlərə demək olar ki, hədsiz imkanlar verir: dəyərli maliyyə məlumatlarını oğurlamaq və ya məqsəd və şəraitdən asılı olaraq əlavə alətlər tərtib etmək.Vəziyyət onunla da çətinləşir ki, yeni hücumlarda cinayətkarlar yalnız “Windows” platformasında fəaliyyət ilə kifayətlənmədilər və “macOS” əməliyyat sistemi üçün sözügedəntroyanın eyni versiyasını yaratdılar. Qeyd edək ki, “macOS” sistemi ənənəvi olaraq kiberhücumlara daha az meylli hesab edilirdi (“Windows” ilə müqayisədə).

“AppleJeus”un daha bir xüsusiyyəti də tədqiqatçıların diqqətini cəlb etmişdir.İlk baxışdan əməliyyat təchizatçıya hücum kimi görünür (bu halda potensial qurbanlara xidmət və məhsulları təklif edən kənar təşkilatlarqəsdən yoluxdurulur), lakin çox güman ki, bu doğru deyil.

Zərərli proqramı qurbanların kompüterlərinə çatdırmaqməqsədi iləseçilən və kriptovalyutanınalışı üçün nəzərdə tutulan proqram təminatının yaradıcısı öz proqramlarını imzalamaqüçün rəqəmsal sertifikata malikdir, onun qeydiyyat domen yazıları isə qanuni görünür.Lakin, “KasperskyLab”ın ekspertləri ictimaiyyətə açıq olan məlumatları araşdırıbsertifikatda göstərilən ünvanda yerləşən heç bir qanuni təşkilatıidentifikasiyaedə bilməyib.

“KasperskyLab” şirkətinin Rusiya Araşdırma Mərkəzinin rəhbəri YuriNamestnikov bildirib:“Biz 2017-ci ilin əvvəlində “Lazarus” öz serverlərindən birinə “Monero” mayninqi üçün proqram təminatı quraşdırandan bəri qruplaşmanınkriptovalyuta bazarına artan marağını müşahidə etmişik. O zamandan onlara kriptovalyuta birjaları və digər maliyyə təşkilatlarına olan hücumlarda rast gəlinib. Bu dəfə onlar “macOS” istifadəçilərini virusa yoluxduran xüsusi bir proqram təminatı yaradıblar ki, bununla da potensial qurbanların sayını artırıblar və hətta müdafiə radarlarından gizlənmək üçün saxta soft şirkəti və saxta proqram təminatı qurublar.  Buonu sübut edir ki, onlar “AppleJeus” əməliyyatında potensial olaraq böyük bir fayda görürlər və yaxın zamanlarda belə hücumların sayı arta bilər. Bu isə “macOS” istifadəçiləri üçünbir növ həyəcan siqnalı olmalıdır, xüsusən də əgər onlar öz “Mac” kompüterlərini kriptovalyutailə əməliyyatlar üçün istifadə edirlər.

Frame.az

Bir cavab yazın

error: Mətndən istifadə etmək qadağandır!
%d bloqqer bunu bəyənir: