Macを標的とし、偽の仮想通貨トレーディングアプリのインストーラーに潜んで感染するLazarusグループのマルウェアが確認される。

Bitcoinのアイコン セキュリティ
記事内に広告が含まれています。
スポンサーリンク

 Macを標的とし、偽の仮想通貨トレーディングアプリのインストーラーに潜んで感染するLazarusグループのマルウェアが確認されそうです。詳細は以下から。

Bitcoinのアイコン

 ロシアのセキュリティ企業Kaspersky Labが運営するSecureListによると、2018年06月頃からWindows PCをターゲットとしたCelas Limitedが開発した「Celas Trade Pro」という仮想通貨のトレーディングアプリに紛れて感染するマルウェアが確認されていたそうですが、このマルウェアがmacOSにもポート(移植)され公開されていたそうです。

To ensure that the OS platform was not an obstacle to infecting targets, it seems the attackers went the extra mile and developed malware for other platforms, including for macOS. A version for Linux is apparently coming soon, according to the website. It’s probably the first time we see this APT group using malware for macOS.

Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware – Securelist

 このマルウェアは北朝鮮が関与していると思われるLazarusグループによって開発されたインストーラー&マルウェアのようで、マルウェアがC&Cサーバーとの通信を行うAccept-Language HTTPヘッダーには北朝鮮の言語コード(ko-kp)が含まれており、このマルウェアにはプロジェクトに「Jeus」というコードネームが付けられていたため、Kasperskyは一連の騒動を「Operation AppleJeus」と呼んでいるようですが、

Trojanized trading program for macOS

For macOS users, Celas LLC also provided a native version of its trading app. A hidden “autoupdater” module is installed in the background to start immediately after installation, and after each system reboot. It keeps contacting the command and control (C2) server in order to download and run an additional executable from the server. The communication conforms to the Windows version of the updater and is disguised as an image file upload and download, while carrying encrypted data inside.

Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware – Securelist

既に仮想通貨取引所が狙われているとKaspersky LabはBleeping Computerのインタビューに答えており、仮想通貨関連のマルウェアは数年前からmacOSのプラットフォームにもポートされ、確認されているだけで以下のような事例がありました。

Macを標的とした仮想通貨関連のマルウェア

AppleJeus対策

 オペレーションAppleJeusの感染源となっている偽の仮想通貨トレーディングアプリ「Celas Trade Pro」の検体は既にVirusTotalに登録されており、Kasperskyをはじめとして、TrendMicroやSymantec、ESET、BitDefenderなどが検出に対応しており、

Malwarebytes for Mac(関連記事)でも「OSX.Fallchill」として検出&削除が可能になっているそうなので、気になる方はスキャンしてみてください。

コメント

タイトルとURLをコピーしました