close-btn

Северокорейские хакеры выпустили новое вредоносное ПО для macOS

Северокорейская хакерская группировка Lazarus обманом вынуждает членов криптосообщества загружать вредоносный ZIP-архив под названием «Cross-platform Bridges.zip», имитирующий арбитражного бота, предназначенного для автоматического получения прибыли

Вредоносное ПО для Apple MacOS

Фото: pixabay.com

Северокорейская хакерская группировка Lazarus распространила на macOS Apple новую вредоносную программу, нацеленную на блокчейн-инженеров одной из криптовалютных биржевых платформ. Хитрое вредоносное ПО, получившее название «KandyKorn», представляет собой бэкдор, позволяющий извлекать данные, загружать/выгружать файлы, безопасно удалять их, завершать процессы и выполнять команды. Анализ проводили специалисты компании Elastic Security Labs.

Чтобы понять суть процесса, рассмотрим схему, представленную компанией Elastic Security Labs и отражающую ход работы вредоносной программы. Изначально злоумышленники распространяют модули на языке Python через каналы Discord, маскируясь под участников сообщества.

Элемент манипуляции заключается в том, что участников сообщества заставляют загрузить вводящий в заблуждение ZIP-файл под названием «Cross-platform Bridges.zip», зеркально отражающий работу автоматического арбитражного бота, созданного для извлечения максимальной прибыли.

На самом деле этот файл состоит из 13 вредоносных модулей, которые работают в унисон, похищая и модифицируя данные. В аналитическом отчете говорится:

«Угрожающий агент применил незнакомую, но эффективную технику постоянного прорыва в macOS, называемую перехватом потока выполнения».

Lazarus по-прежнему рассматривает криптовалютный сектор в качестве своей основной цели. При этом главной мотивацией для злоумышленников является финансовая выгода, а не шпионаж.

Существование KandyKorn свидетельствует о том, что Lazarus держит под прицелом macOS, демонстрируя похвальное умение группировки разрабатывать сложные и незаметные вредоносные программы, предназначенные специально для компьютеров Apple.

В одном из недавних инцидентов эксплойтер начал сливать $2,1 млн с помощью протокола Onyx на Tornado Cash. Популярный Telegram-бот Unibot, использовавшийся для определения возможностей торговли на децентрализованной бирже Uniswap, стал жертвой эксплойта, который в течение часа обрушил цену токена на 40%.

Пользователи Unibot были предупреждены о взломе аналитической компанией Scopescan, специализирующейся на анализе блокчейна. В итоге факт взлома был подтвержден официальным источником:

«Мы обнаружили эксплойт для одобрения токенов в нашем новом маршрутизаторе и временно остановили работу сервиса для решения проблемы».

Компания Unibot пообещала возместить убытки всем пользователям, которые понесли потери в результате использования эксплойта.

Вам может быть интересно:

google news
credit link image
×
Подписывайтесь на нас в Telegram и Viber!