AppleJeus

Cyberprzestępcy coraz bardziej interesują się tworzeniem zagrożeń atakujących urządzenia z systemem OSX. Jednym z najnowszych zagrożeń tego typu, które zauważyli eksperci od cyberbezpieczeństwa, jest AppleJeus. Zagrożenie AppleJeus to backdoor trojana z kilkoma intrygującymi funkcjami. Autorzy trojana AppleJeus propagują go za pomocą fałszywej wymiany walut cyfrowych aktywów. Każdy użytkownik, który chciałby skorzystać z usługi, jest proszony o pobranie platformy handlu aktywami cyfrowymi. Jednak gdy tylko użytkownicy pobiorą i zainstalują plik, backdoor AppleJeus Trojan zostanie cicho zainstalowany w swoich systemach. Oprócz wariantu tego zagrożenia, który atakuje komputery Mac, autorzy opracowali również kopię pasującą do systemów Windows. Wariant tego zagrożenia dla systemu Windows nie ma cech, które są zbyt imponujące, ale kopia OSX ma kilka ciekawych aspektów, które warto zbadać.

Uszkodzony plik jest hostowany na GitHub

Aby oszukać użytkowników i skompromitować ich systemy, backdoor trojana Ap-pleJeus jest maskowany jako fałszywa giełda o nazwie „Celas” lub „JMT Trading”. Obie usługi są złożone i nie są powiązane z żadnymi prawdziwymi firmami ani firmami. Twórcy backdoora AppleJeus zdecydowali się hostować uszkodzony plik zagrożenia na legalnej platformie GitHub. Nazwa pliku to „JMT-Trader.pkg.” Fakt, że autorzy tego zagrożenia przechowują ten plik na renomowanej platformie, takiej jak GitHub, może skłonić niektórych użytkowników do myślenia, że nie dzieje się nic podejrzanego, a usługa jest autentyczna.

Zyskuje trwałość

Aby zyskać trwałość na popsutym hoście, backdoor Ap-pleJeus wdroży kolekcję plików za pomocą skryptu instalacyjnego, a następnie odrodzi nowego demona uruchamiania, który zapewni, że zagrożenie będzie działało przy każdym ponownym uruchomieniu komputera. Do wykonania tego kroku ataku wymagane są uprawnienia administratora, ale nie stanowi to problemu dla autorów zagrożenia. Backdoor AppleJeus Tro-jan wyświetli monit z prośbą o podanie poświadczeń administratora i zielone światło dla instalacji.

Pomimo krótkiej listy komend, które mogą być ekwipowane przez zagrożenie, są one wystarczające, aby atakujący mogli uzyskać prawie całkowitą kontrolę nad zainfekowaną maszyną. Backdoor AppleJeus może:

• Prześlij pliki do zainfekowanego hosta.
• Uruchom pliki na zainfekowanym hoście.
• Wykonuj zdalne polecenia na zainfekowanym hoście.
• Samowystarczalne.

Opierając się na złożonej metodzie propagacji zastosowanej przez atakujących, można bezpiecznie założyć, że są oni bardzo doświadczeni w dziedzinie cyberprzestępczości. Doprowadziło to badaczy cyberbezpieczeństwa do przekonania, że za tym atakiem może kryć się APT (Advanced Persistent Threat). Po przestudiowaniu trojana typu backdoor firmy AppleJeus eksperci odkryli pewne podobieństwa między tym zagrożeniem a innymi odmianami złośliwego oprogramowania powiązanego ze słynnym północnokoreańskim ATP o nazwie Lazarus. Zagrożenia ponownie wydzierżawione przez Lazarus APT są bardzo silne i groźne. Właśnie dlatego powinieneś rozważyć inwestowanie w renomowaną aplikację anty-malware, która zapewni bezpieczeństwo twojego systemu.