AppleJeus

Cybercriminelen zijn steeds meer geïnteresseerd in het creëren van bedreigingen gericht op apparaten met OSX. Een van de nieuwste bedreigingen van dit type die experts op het gebied van cybersecurity hebben opgemerkt, is AppleJeus. De AppleJeus-bedreiging is een Trojaanse achterdeur met verschillende intrigerende functies. De auteurs van de AppleJeus Trojan propageren het met behulp van een valse digitale activa valutawissels. Elke gebruiker die de service wil gebruiken, wordt aangespoord een digitaal platform voor het verhandelen van activa te downloaden. Zodra de gebruikers het bestand downloaden en installeren, wordt de AppleJeus Trojan-achterdeur stil op hun systemen geplant. Afgezien van de variant van deze bedreiging die zich richt op Mac-computers, hebben de auteurs ook een exemplaar ontwikkeld dat ook op Win-dows-systemen aansluit. De Windows-variant van deze dreiging heeft geen eigenschappen die te indrukwekkend zijn, maar de OSX-kopie heeft een aantal nieuwsgierige aspecten, die het ontdekken waard zijn.

Een beschadigd bestand wordt gehost op GitHub

Om de gebruikers voor de gek te houden en hun systemen te compromitteren, wordt de Trojaanse achterdeur van Ap-pleJeus gemaskeerd als een nepuitwisseling genaamd 'Celas' of 'JMT Trading'. Beide services zijn samengesteld en zijn niet gekoppeld aan echte bedrijven of bedrijven. De makers van de AppleJeus-achterdeur hebben ervoor gekozen om het beschadigde bestand van de dreiging op het legitieme platform GitHub te hosten. De naam van het bestand is 'JMT-Trader.pkg.' Het feit dat de auteurs van deze dreiging dit bestand op een gerenommeerd platform als GitHub hosten, kan sommige gebruikers ertoe brengen te denken dat er niets aan de hand is en de service echt is.

Krijgt doorzettingsvermogen

Om persistentie op de verknoeide host te krijgen, zal de Ap-pleJeus-achterdeur een verzameling bestanden implementeren met behulp van een installatiescript en vervolgens een nieuwe lanceringsdaemon spawnen die ervoor zorgt dat de dreiging wordt uitgevoerd telkens wanneer de computer opnieuw wordt opgestart. Beheerdersrechten zijn vereist voor het voltooien van deze stap van de aanval, maar dit is geen probleem voor de auteurs van de dreiging. De AppleJeus Tro-jan-achterdeur presenteert de gebruikers een prompt die hen aanspoort om hun beheerdersreferenties in te vullen en groen licht te geven voor de installatie.

Ondanks de korte lijst met opdrachten die de dreiging kan uitvoeren, zijn ze meer dan genoeg voor de aanvallers om bijna volledige controle over de gecompromitteerde machine te krijgen. De AppleJeus-achterdeur kan:

• Bestanden uploaden naar de geïnfecteerde host.
• Voer bestanden uit op de geïnfecteerde host.
• Voer externe opdrachten uit op de geïnfecteerde host.
• Self-beëindigen.

Alleen al op basis van de complexe propagatiemethode van de aanvallers, is het veilig om aan te nemen dat ze zeer ervaren zijn op het gebied van cybercriminaliteit. Dit bracht cybersecurity-onderzoekers ertoe te geloven dat er mogelijk een APT (Advanced Persistent Threat) achter deze aanval zit. Bij het bestuderen van de AppleJeus-achterdeur Trojan, vonden experts enkele nauwe parallellen tussen deze bedreiging en andere soorten malware die zijn geassocieerd met de beroemde Noord-Koreaanse ATP genaamd Lazarus. Bedreigingen die opnieuw worden verhuurd door de Lazarus APT zijn zeer krachtig en bedreigend. Daarom moet u zeker overwegen om te investeren in een gerenommeerde anti-malwaretoepassing die uw systeem veilig houdt.