É mito quando se ouve dizer que o sistema operativo Mac é imune a ameaças/malware. Além dos vários casos que têm vindo a ser reportados, recentemente, um grupo de investigadores detetaram que o grupo Lazarus começou a distribuir malware direcionado a sistemas operativos Mac, o que representa uma chamada de atenção para os utilizadores que recorrem a este SO para atividades relacionadas com criptomoedas.
Investigadores da equipa GReAT (Global Research and Analysis Team) da Kaspersky Lab descobriram a AppleJeus – uma nova operação maliciosa por parte do infame grupo Lazarus. Segundo as informações, os hackers acederam a uma rede de câmbio de criptomoedas na Ásia através de um software Trojan, com o objetivo de roubar criptomoedas às suas vítimas.
Para além de malware para o sistema operativo Windows, os investigadores identificaram também uma versão anteriormente desconhecida direcionada a sistemas operativos Mac.
Modus operandi do AppleJeus
O malware AppleJeus atua como um modulo de reconhecimento: primeiro, recolhe informações básicas sobre o computador em que esta instalado, enviando-as de volta para o servidor de comando e controlo. Se os hackers considerarem que vale a pena atacar o computador em questão, o código malicioso é novamente enviado sob a forma de software de atualização.
Este malware instala um Trojan de nome Fallchill, uma ferramenta antiga que o grupo Lazarus voltou a atualizar recentemente e que proporcionou aos investigadores uma base para identificar os hackers. Após a instalação, o Trojan Fallchill proporciona-lhes um acesso quase ilimitado ao computador da vítima, permitindo-lhes roubar informações financeiras valiosas ou ativar ferramentas adicionais com o mesmo propósito
O grupo Lazarus, reconhecido pelas suas sofisticadas operações e ligado à Coreia do Norte, é famoso não só pelos seus ataques de ciberespionagem e cibersabotagem mas também pelos ataques financeiros. Vários investigadores, incluindo os da Kaspersky Lab, já haviam reportado ataques anteriores do grupo a bancos e outras grandes organizações financeiras.
O que fazer?
- Não confiar absolutamente no código dos seus sistemas. Um website de aspeto legítimo, um perfil de uma empresa ou um certificado digital não são garantias da inexistência de backdoors que terão acesso às suas redes;
- Utilizar uma solução de segurança robusta, equipada com tecnologias de deteção de comportamento malicioso que permitem a deteção e mitigação de ameaças anteriormente desconhecidas;
- Subscrever as equipas de segurança IT a serviços de relatórios de inteligência de ameaças para que tenham acesso a informações e relatórios sobre os mais recentes desenvolvimentos em táticas, técnicas e procedimentos de sofisticados atores de ameaças;
- Utilizar vários fatores de autentificação e hardware wallets no caso de transações financeiras substanciais. Neste caso, é preferível recorrer a um computador isolado e que não é utilizado para aceder à internet nem ao email
O relatório completo pode ser encontrado em Securelist.com.