Lazarus Group crea su primer malware para Mac para robar criptomonedas

Descubierta por Kaspersky lab, AppleJeus es una nueva operación de Lazarus Group que busca robar criptomonedas a las víctimas con un malware para Windows y una versión para Mac.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Lazarus Group es una conocida banda de ciberdelincuentes de Corea del Norte a los que, entre otras cosas, se les hace responsables del ataque de Wannacry de 2017, de hackear Sony Films hace unos años y de robar millones de dólares a los bancos.   

Ahora, una investigación de Kaspersky Lab ha descubierto que el grupo está poniendo sus miras hacia el mundo de las criptomonedas mediante un malware para MacOS, una versión de un malware para Linux que ya se está utilizando.

La operación, que Kaspersky ha bautizado como Operation AppleJeus, se inició después de que un empleado de una plataforma de intercambio de criptomonedas con sede en Asia descargara una aplicación de un sitio web de aspecto legítimo que afirmaba pertenecer a una empresa que desarrolla software de comercio de criptomonedas.

Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.

Sin embargo, tras el análisis se descubrió que la aplicación estaba infectada con malware. En Windows la aplicación descarga e infecta a los usuarios con Fallchill, un troyano de acceso remoto, conocido por estar asociado con Lazarus Group desde al menos 2016. Pero además, los hackers han desarrollado también una versión para Mac, algo que no había hecho hasta ahora; el malware estaba escondido en una versión para Mac del mismo software para el intercambio de criptomonedas.

Explica también Kaspersky que otra cosa inusual acerca de la operación de AppleJeus es que si bien parece un ataque de la cadena de suministro, en realidad puede no ser el caso. El proveedor del software de intercambio de criptomonedas que se utilizó para entregar la carga maliciosa a las computadoras de las víctimas tiene un certificado digital válido para firmar su software y registros de registro de aspecto legítimo para el dominio. Sin embargo, al menos sobre la base de información disponible públicamente, los investigadores de Kaspersky Lab no pudieron identificar ninguna organización legítima ubicada en la dirección utilizada en la información del certificado.