AppleJeus
Οι απατεώνες στον κυβερνοχώρο ενδιαφέρονται ολοένα και περισσότερο για τη δημιουργία απειλών κατά των συσκευών που εκτελούν OSX. Μία από τις νεότερες απειλές αυτού του τύπου που οι εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο έχουν εντοπίσει ονομάζεται AppleJeus. Η απειλή AppleJeus είναι ένα Trojan backdoor με αρκετά ενδιαφέροντα χαρακτηριστικά. Οι συγγραφείς του Trojan της AppleJeus την πολλαπλασιάζουν με τη χρήση ψευδών ψηφιακών χρηματιστηριακών συναλλαγών. Οποιοσδήποτε χρήστης επιθυμεί να χρησιμοποιήσει την υπηρεσία προτρέπεται να κατεβάσει μια πλατφόρμα συναλλαγών ψηφιακών στοιχείων. Ωστόσο, μόλις ο χρήστης κατεβάσει και εγκαταστήσει το αρχείο, το Trojan backdoor της AppleJeus θα φυτευτεί σιωπηλά στα συστήματά του. Εκτός από την παραλλαγή αυτής της απειλής που στοχεύει υπολογιστές Mac, οι au-thors έχουν επίσης αναπτύξει ένα αντίγραφο που πηγαίνει και μετά τα συστήματα Win-dows. Η παραλλαγή των Windows σε αυτήν την απειλή δεν διαθέτει ιδιότητες που είναι πολύ εντυπωσιακές, αλλά το αντίγραφο OSX έχει κάποιες περίεργες πτυχές, οι οποίες αξίζει να εξερευνήσετε.
Ένα κατεστραμμένο αρχείο φιλοξενείται στο GitHub
Για να ξεγελάσουν τους χρήστες και να θέσουν σε κίνδυνο τα συστήματά τους, το Trojan backdoor Ap-pleJeus αποκρύπτεται ως μια ψεύτικη ανταλλαγή που ονομάζεται «Celas» ή «JMT Trading». Και οι δύο αυτές υπηρεσίες είναι κατασκευασμένες και δεν συνδέονται με πραγματικές εταιρείες ή επιχειρήσεις. Οι δημιουργοί του backdoor της AppleJeus επέλεξαν να φιλοξενήσουν το κατεστραμμένο αρχείο της απειλής στη νόμιμη πλατφόρμα GitHub. Το όνομα του αρχείου είναι 'JMT-Trader.pkg.' Το γεγονός ότι οι συντάκτες αυτής της απειλής φιλοξενούν αυτό το αρχείο σε μια αξιόπιστη πλατφόρμα, όπως το GitHub, μπορεί να εξαπατήσουν ορισμένους χρήστες να σκεφτούν ότι δεν συμβαίνει τίποτα ψαρά και ότι η υπηρεσία είναι γνήσια.
Κέρδος Ανθεκτικότητα
Για να κερδίσει την εμμονή στο κακόβουλο host, το backdoor Ap-pleJeus θα αναπτύξει μια συλλογή αρχείων χρησιμοποιώντας ένα σενάριο εγκατάστασης και στη συνέχεια θα δημιουργήσει ένα νέο δαίμονα εκτόξευσης που θα βεβαιωθεί ότι η απειλή τρέχει κάθε φορά που ο υπολογιστής επανεκκινείται. Τα δικαιώματα διαχειριστή απαιτούνται για την ολοκλήρωση αυτού του βήματος της επίθεσης, αλλά αυτό δεν αποτελεί πρόβλημα για τους συντάκτες της απειλής. Το backdoor του AppleJeus Tro-jan θα παρουσιάσει στους χρήστες μια προτροπή που τους παροτρύνει να συμπληρώσουν τα διαπιστευτήρια διαχειριστή τους και να δώσουν το πράσινο φως στην εγκατάσταση.
Παρά τη σύντομη λίστα εντολών που μπορεί να εκτοξεύσει η απειλή, είναι περισσότερο από αρκετό για τους επιτιθέμενους να αποκτήσουν σχεδόν πλήρη έλεγχο πάνω στο συμβιβασμένο μηχάνημα. Το backdoor της AppleJeus μπορεί:
- Ανεβάστε αρχεία στον μολυσμένο κεντρικό υπολογιστή.
- Εκτελέστε αρχεία στον μολυσμένο κεντρικό υπολογιστή.
- Εκτελέστε απομακρυσμένες εντολές στον μολυσμένο κεντρικό υπολογιστή.
- Αυτόματη λήξη.
Με βάση τη σύνθετη μέθοδο διάδοσης που χρησιμοποιούν οι επιτιθέμενοι, είναι ασφαλές να υποθέσουμε ότι είναι πολύ έμπειροι στον τομέα του εγκλήματος στον κυβερνοχώρο. Αυτό οδήγησε τους ερευνητές cy-bersecurity να πιστεύουν ότι μπορεί να υπάρχει μια APT (Advanced Persistent Threat) πίσω από αυτή την επίθεση. Μελετώντας τον Trojan backdoor της AppleJeus, εμπειρογνώμονες βρήκαν κάποια στενή παραλληλία μεταξύ αυτής της απειλής και άλλων στελεχών κακόβουλου λογισμικού που έχουν συσχετιστεί με το περίφημο Βόρειο Κορεατικό ATP που ονομάζεται Lazarus. Οι απειλές που εκχωρούνται εκ νέου από το Lazarus APT είναι εξαιρετικά ισχυρές και απειλητικές. Αυτός είναι ο λόγος για τον οποίο σίγουρα θα πρέπει να εξετάσετε την επένδυση σε μια αξιόπιστη εφαρμογή κατά του κακόβουλου λογισμικού που θα κρατήσει το σύστημά σας ασφαλή.
