گروه نفوذ لازاروس که به کشور کرهی شمالی نسبت داده میشود، نوع جدیدی از بدافزار Fallchill را برای حمله علیه تبادلات رمزارز در بستر macOS توسعه داده است. فعالیت این گروه نفوذ در سالهای ۲۰۱۵ و ۲۰۱۶ میلادی بسیار زیاد بود و در حملات خود از بدافزارهای ویژه استفاده میکردند. از نظر محققان امنیتی، اعضای این گروه نفوذ بسیار حرفهای بوده و بدافزارهای آنها بسیار پیچیده است.
این گروه نفود فعالیتهای خود را حداقل از سال ۲۰۰۹ میلادی آغاز کرده و در حملات خود از جاسوسافزارها و یا بدافزارهایی برای از بین بردن دادهها و تخریب کامل سیستمها استفاده میکند. گفته میشود عامل حملات اخیر به بانکها در سراسر جهان از جمله بانک بنگلادش نیز این گروه بوده است. محققان امنیتی از گروه کسپرسکی در ردیابیهای اخیر خود، پویش جدیدی با نام عملیات AppleJeus را شناسایی کردهاند که توسط این گروه راهاندازی شده است.
این پویش جدید تبادلات و شرکتهای فعال در حوزهی رمزارز را هدف قرار داده و در قالب توزیع گستردهی یک برنامهی کاربردی رمزارز، عملیات خود را پیش میبرد. سازمانها و افراد برنامهای را دریافت و نصب میکنند که آلوده به تروجان است. به نظر میرسد در سازمانها یکی از کارکنان از همه جا بیخبر، از وبسایتی که قانونی به نظر میرسد، یک برنامهی رمزارز شخص ثالث را دریافت کرده است. این در حالی است که این برنامه به بدافزار Fallchill آلوده بوده است. گروه نفوذ لازاروس قبلا از این بدافزار استفاده میکرد و به تازگی نیز به آن سوئیچ کرده است.
نکتهی جدید در این پویش، این است که گروه نفوذ لازاروس برای اولین بار نمونهای از بدافزار Fallchill را علاوه بر ویندوز، برای هدف قرار دادن دستگاههای macOS نیز توسعه داده است. مشاهدات حاکی از آن است که این گروه نفوذ در نظر دارد گسترهی اهداف خود را گسترش دهد و این موضوع باید بیدارباشی برای بسترهای دیگری غیر از ویندوز باشد.
این بدافزار در بستهی نصب برنامهی کاربردی گنجانده شده و در قالب بهروزرسانی ارائه میشود. محققان اعلام کردند این بدافزار در قالب برنامهی قانونی با نام Celas Trade Pro توزیع میشود. در انتهای فرآیند نصب، نرمافزار ماژول Updater.exe را اجرا میکند. این ماژول اطلاعات سیستم را جمعآوری کرده و در قالب یک تصویر GIF آن را برای سروری که در کنترل مهاجمان است، ارسال میکند. بدافزار بهطور مداوم با سرور دستور و کنترل در ارتباط بوده و فایلهای اجرایی را دریافت و اجرا میکند.
در حال حاضر هنوز مشخص نیست که گروه نفوذ لازاروس زنجیرهی تامین برنامهی Celas ر ا آلوده کرده و یا اینکه برنامهای را توسعه داده و بار دادهی مخرب و بدافزار را در آن تزریق کرده است. بدافزار که در قالب بهروزرسانیکننده در کنار برنامهی قانونی نصب شده، با استفاده از چارچوب چندبستری Qt پیادهسازی شده است. این ماژول پس از اجرا، شناسهی منحصربفردی را برای هر قربانی ایجاد میکند. اطلاعات قربانی را جمعآوری کرده و در قالب رمزنگاریشده برای سرور دستور و کنترل ارسال میکند.
