Experten von Kaspersky Lab haben mit AppleJeus [1] eine neue gefährliche Operation der berüchtigten Lazarus-Gruppe identifiziert. Den Angreifern gelang es, in das Netzwerk einer Kryptowährungsbörse in Asien einzudringen, indem sie Trojaner-Software zum Kryptowährungshandel einsetzten. Das Ziel war der Diebstahl von Kryptowährungen. Neben Windows-basierender Malware identifizierten die Cyber-Sicherheitsexperten zudem eine bisher unbekannte Version für macOS.
Zum ersten Mal konnten Kaspersky-Experten damit nach eigenen Angaben beobachten, dass die Lazarus-Gruppe Malware verbreitet, die es auf macOS-Nutzer abgesehen hat. Dies sei ein Weckruf für alle, die das Betriebssystem für Kryptowährungsaktivitäten nutzen.
Gemäß der Analyse von Kaspersky Lab konnten die Angreifer in die Infrastruktur der Börse eindringen, als ein ahnungsloser Mitarbeiter eine Drittanwendung einer legitim scheinenden Web-Seite eines Unternehmens herunterlud, das Software für Kryptowährungshandel entwickelt.
Der Code der Anwendung ist zunächst nicht verdächtig, mit Ausnahme einer Komponente: einem Updater. Solche Komponenten kommen in ganz gewöhnlicher Software zum Einsatz, um neue Programmversionen herunterzuladen. Im Fall von AppleJeus verhält sich der Updater wie ein Ausspähmodul. Zunächst sammelt er grundlegende Informationen über den Computer, auf dem er installiert ist. Dann sendet er diese Informationen zurück an den Command-and-Control-Server. Entscheiden die Angreifer, dass der Computer ein lohnenswertes Ziel ist, wird der Schadcode in Form eines Software-Updates injiziert. Das bösartige Update installiert einen Trojaner namens Fallchill, ein altbekanntes Tool, das die Lazarus-Gruppe nun wieder im Einsatz hat. Nach der Installation bietet der Fallchill-Trojaner den Angreifern nahezu unbegrenzten Zugriff auf den attackierten Computer, sodass sie wertvolle Finanzinformationen stehlen oder zusätzliche Tools für diesen Zweck einsetzen können.
Die Situation verschärfte sich dadurch, dass die Kriminellen ihre Software sowohl für Windows als auch für macOS entwickelt haben. Letztere ist in der Regel weniger anfällig für Cyber-Bedrohungen als Windows. Die Funktionalität beider Plattformversionen der Malware ist identisch.
Ein weiteres ungewöhnliches Merkmal der AppleJeus-Operation: Der Anschein eines Supply-Chain-Angriffs trügt. Der Anbieter der verwendeten Software für Kryptowährungshandel, die den gefährlichen Payload an die Computer der Opfer liefert, verfügt über ein gültiges digitales Zertifikat zur Signierung seiner Software und legitim aussehende Registrierungsdatensätze für die Domain. Allerdings konnten die Experten von Kaspersky Lab - zumindest auf der Grundlage öffentlich verfügbarer Informationen - kein seriöses Unternehmen ermitteln, das sich an der in den Zertifikatsinformationen aufgeführten Adresse befindet.
"Anfang des Jahres 2017 fiel uns bei der Lazarus-Gruppe ein wachsendes Interesse an Kryptowährungsmärkten auf, als ein Lazarus-Mitglied die Monero-Mining-Software auf einem ihrer Server installierte", berichtet Vitaly Kamluk, leitender IT Sicherheitsexperte bei Kaspersky Lab. "Seither hatte es die Gruppe außer auf reguläre Finanzorganisationen auch mehrmals auf Kryptowährungsbörsen abgesehen. Die Tatsache, dass sie Malware entwickelt haben, um neben Windows- auch macOS-Nutzer zu infizieren, und höchstwahrscheinlich ein gefälschtes Software-Unternehmen und -Produkt geschaffen haben, um von Sicherheitslösungen unerkannte Malware zu verbreiten, zeigt, dass sie potenziell große Gewinne bei der gesamten Operation sehen. In naher Zukunft müssen wir deshalb mit weiteren derartigen Fällen rechnen. Für macOS-Nutzer ist dieser Fall eine Warnung, insbesondere, wenn sie Macs für Kryptowährungsaktivitäten einsetzen."
Die Lazarus-Gruppe ist für ihre ausgeklügelten Operationen [2] und Verbindungen nach Nordkorea bekannt. Sie ist nicht nur für Cyberspionage und Cyberattacken berüchtigt, sondern auch für finanziell motivierte Angriffe.
Die Experten von Kaspersky Lab empfehlen folgende Sicherheitsmaßnahmen:
Der vollständige Bericht "Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware" ist unter securelist.com/operation-applejeus/87553/ verfügbar.
Weitere Links:
Kaspersky-Analyse zur Operation AppleJeus: securelist.com/operation-applejeus/87553/
Kaspersky Threat Intelligence: www.kaspersky.de/enterprise-security/threat-intelligence