Phát hiện biến thể của Lazarus săn tiền mã hóa bằng phần mềm độc hại trên MacOS

AppleJeus, tên gọi mới của băng nhóm Lazarus khét tiếng được phát hiện xâm nhập vào mạng lưới trao đổi tiền điện tử ở châu Á bằng phần mềm giao dịch tiền mã hóa. Mục tiêu chính là đánh cắp tiền mã hóa của nạn nhân. Ngoài những phần mềm độc hại nhắm vào Windows, Kaspersky Lab còn tìm thấy một phiên bản đang cố tấn công vào MacOS.

Đây là trường hợp đầu tiên mà các nhà nghiên cứu của Kaspersky Lab thấy băng nhóm Lazarus phát tán các phần mềm độc hại nhắm vào người sử dùng hệ điều hành MacOS, và đây chính là “hồi chuông cảnh tỉnh” đến tất cả những người sử dụng nền tảng này khi thực hiện các trao đổi có liên quan đến tiền điện tử.

Theo phân tích từ GReAT, sự xâm nhập vào cơ sở hạ tầng của sàn giao dịch chứng khoán bắt đầu khi một nhân viên trong công ty không hề hoài nghi mà tải ứng dụng của bên thứ ba từ một trang web có diện mạo như của một doanh nghiệp chính thống dùng cho mục đích phát triển phần mềm kinh doanh tiền điện tử.

Mã ứng dụng không có gì đáng nghi ngờ chỉ trừ duy nhất một thứ: chương trình cập nhật. Trong phần mềm chính thống, các thành phần này được sử dụng để tải xuống các phiên bản cập nhật mới. Với AppleJeus, phần mềm này hoạt động như một module thăm dò: đầu tiên là thu thập thông tin cơ bản về máy tính có chứa nó, sau đó gửi thông tin này lại cho máy chủ C&C và nếu những kẻ tấn công xác định rằng máy tính này có giá trị để tấn công thì mã độc sẽ được gửi trở lại dưới hình thức của một phần mềm cập nhật. Bản cập nhật độc hại này có cài đặt Trojan, còn được gọi là Fallchill, một công cụ cũ mà nhóm Lazarus gần đây đã bắt đầudùng trở lại - giúp các nhà nghiên cứu càng có cơ sở để đánh giá. Sau khi được cài đặt, Trojan Fallchill sẽ đem lại cho những kẻ tấn công quyền truy cập gần như không giới hạn vào các máy tính, cho phép chúng ăn cắp các thông tin tài chính có giá trị hoặc triển khai những công cụ bổ sung nhằm đạt được mục đích đó.

Tình hình càng nghiêm trọng hơn bởi thực tế là những tên tội phạm đã phát triển phần mềm cho cả hai nền tảng Windows và macOS. Trong đó, Windows là nền tảng chịu nhiều rủi ro hơn so với MacOS. Các chức năng của phần mềm độc hại trên cả hai nền tảng này chính xác là như nhau.

Một điều bất thường về sự hoạt động của AppleJeus là dù nhìn nó có vẻ như một cuộc tấn công dạng chuỗi cung ứng, thì trên thực tế lại không phải vậy. Các nhà cung cấp phần mềm giao dịch tiền điện tử dùng để gửi các tệp tin độc hại tới máy tính của nạn nhân đều có một chứng nhận kỹ thuật số hợp lệ để đánh dấu phần mềm của họ và hồ sơ đăng ký tên miền chính thống. Tuy nhiên, dựa trên dữ liệu công khai sẵn có, các nhà nghiên cứu Kaspersky Lab đã không thể xác định được bất kỳ tổ chức hợp pháp nào hoạt động ở địa chỉ được sử dụng trong các thông tin chứng nhận đó.

Vitaly Kamluk, Trưởng nhóm GReAT APAC tại Kaspersky Lab nhận thấy một sự quan tâm ngày càng tăng của băng nhóm Lazarus đối với thị trường tiền điện tử vào đầu năm 2017, khi phần mềm khai thác Monero được cài đặt trên một trong các máy chủ bởi kẻ điều khiển Lazarus. Kể từ đó, chúng đã bị phát hiện nhiều lần khi cố tấn công vào các giao dịch tiền điện tử bên cạnh các tổ chức tài chính. Thực tế, khi chúng phát triển phần mềm độc hại để lây nhiễm cho cả người dùng hệ điều hành macOS lẫn Windows hoặc thậm chí là tạo ra một công ty phần mềm và các sản phẩm giả mạo để có thể phân phối phần mềm độc hại mà không bị phát hiện bởi các giải pháp bảo mật. Điều này nghĩa là chúng nhìn thấy được rất nhiều lợi nhuận tiềm năng trong toàn bộ hoạt động, và chúng ta chắc chắn còn bắt gặp nhiều trường hợp như vậy trong tương lai gần. Đối với những người dùng macOS thì trường hợp này là một hồi chuông cảnh tỉnh, đặc biệt lànếu họ sử dụng máy Mac để thực hiện các hoạt động trao đổi tiền điện tử.

Nhóm Lazarus, được biết đến vớicáchoạt động phức tạp và có liên kết với Bắc Triều Tiên được chú ý đến không chỉ vì các cuộc tấn công phá hoại mạng và không gian mạng, mà còn là các cuộc tấn công vụ lợi tài chính. Một số nhà nghiên cứu, kể cả ở Kaspersky Lab, trước đó đã tố cáo về nhóm này vì nhắm vào các ngân hàng và các doanh nghiệp tài chính khác nhau.

Để bảo vệ bản thân và công ty khỏi các cuộc tấn công mạng tinh vi từ những băng nhóm như Lazarus, các chuyên gia bảo mật của Kaspersky Lab khuyến nghị:

 

 

Từ khóa: an ninh bảo mật, An ninh mạng, bảo mật, Hồng Oanh, Kaspersky Lab, Lazarus, tiền điện tử, tiền mã hóa