De beruchte Lazarus-groep heeft een nieuwe campagne gelanceerd die zich richt op cryptovalutabeurzen. Zo wordt geprobeerd om malware te verspreiden naar Windows en macOS-gebruikers. Kaspersky Lab, dat de nieuwe campagne ontdekte, heeft deze AppleJeus genoemd.
De eerste aanval vond plaats in Azië, waarbij een netwerk van een cryptobeurs geïnfecteerd werd met een Lazarus-trojan. Die verspreidde malware naar zowel Windows als macOS-apparaten. Volgens het team van Kaspersky is de malware erop gericht om cryptovaluta buit te maken van gebruikers. Het is de eerste keer dat malware van Lazarus niet alleen op Windows, maar ook op macOS gericht is.
Complete beurzen het doel
Lazarus richtte zich al eerder op cryptovaluta. De hackersgroep, die gelinkt wordt aan de Noord-Koreaanse overheid, doet dat zeer waarschijnlijk vanwege de grote waarde van de virtuele munten. Om er zoveel mogelijk te stelen, waren er al phishingmails verspreid, maar dat lijkt niet meer genoeg te zijn voor de hackersgroep.
De groep lijkt zich nu te richten op complete beurzen. Dat doet de hackersgroep niet meteen met een gestrekt been. In plaats daarvan bouwt het ogenschijnlijk legitieme software, die vervolgens online verspreid worden. Kaspersky stelt dat een bedrijfsmedewerker van een beurs een toepassing van een derde partij downloadde, van een site die er gewoon goed uitzag.
Wel de moeite waard?
Maar de software bevatte een module die basisinformatie over een computer verzamelt en doorzet naar een C&C-server. Vanaf die server kon Lazarus vervolgens bepalen of een computer de moeite van het aanvallen waard was. Indien de hackers dat inderdaad vonden, werd er een software-update naar de computer verzonden.
Die update was zowel voor de Windows als macOS-variant van de computers beschikbaar en installeert de Fallchill-trojan. Dat is een oude bekende, die nu door Lazarus wordt ingezet om financiële gegevens mee buit te maken.
11 uur geleden
