Schutzprogramme, Verschlüsselung & Datensicherheit

Malware für macOS greift Kryptowährungsbörse an

Malware für macOS greift Kryptowährungsbörse an
Das Ziel der kriminellen Angreifer war der Diebstahl von Kryptowährungen.

Hinter der sogenannten Operation Apple Jeus soll die berüchtigte Lazarus-Gruppe stecken, wie die Sicherheitsexperten von Kaspersky Lab entdeckten. Den kriminellen Angreifern war es gelungen, in das Netzwerk einer Kryptowährungsbörse in Asien einzudringen, indem sie Trojaner-Software zum Kryptowährungshandel einsetzten. Neben Windows-basierter Malware identifizierten die Cyber Security Experten zudem eine bisher unbekannte Version für macOS.

Lazarus-Gruppe greift erstmals macOS an

Zum ersten Mal konnten Kaspersky-Experten beobachten, dass die Lazarus-Gruppe Malware verbreitet, die es auf macOS-Nutzer abgesehen hat – ein Weckruf für alle, die das Betriebssystem für Kryptowährungsaktivitäten nutzen, wie infopoint-security.de dazu ausführte.

Der Coup der Angreifer gelang dadurch, dass ein ahnungsloser Mitarbeiter eine Drittanwendung einer legitim scheinenden Webseite eines Unternehmens herunterlud, die Software für Kryptowährungshandel entwickelt. Für die Kriminellen war somit der Weg frei in die Infrastruktur der Börse.

Stolperstein Updater

Das Problem der Anwendung befand sich in einem Updater. Eigentlich sind das Komponenten, die in legitimer Software eingesetzt werden, um neue Programm-Versionen herunterzuladen. Im Fall von AppleJeus verhält es sich wie ein Ausspähmodul.

Das bedeutet, zuerst werden grundlegende Informationen über den Computer gesammelt, auf dem es installiert wurde, dann sendet es diese Informationen zurück an den Command-and-Control-Server. Entscheiden die Angreifer, dass der Computer ein lohnenswertes Ziel ist, wird der Schadcode in Form eines Software-Updates injiziert.

Update installiert Trojaner „Fallchill“

Das bösartige Update installiert einen Trojaner namens „Fallchill“, ein altbekanntes Tool, das die Lazarus-Gruppe nun wieder im Einsatz hat. Aufgrund dessen war den Kaspersky-Experten eine erste Zuordnung möglich. Nach der Installation bietet der Fallchill-Trojaner den Angreifern nahezu unbegrenzten Zugriff auf den attackierten Computer, so dass sie wertvolle Finanzinformationen stehlen oder zusätzliche Tools für diesen Zweck einsetzen können.

Wie es weiter dazu heißt verschärfte sich die Situation dadurch, dass die Kriminellen Software sowohl für die Windows- als auch für die macOS-Plattform entwickelt haben. Letztere ist in der Regel weniger anfällig für Cyberbedrohungen als Windows. Die Funktionalität beider Plattformversionen der Malware ist identisch.

Software mit gültigem Zertifikat

Der Anbieter der verwendeten Software für Kryptowährungshandel, die den gefährlichen Payload an die Computer der Opfer liefert, verfügt über ein gültiges digitales Zertifikat zur Signierung seiner Software und legitim aussehende Registrierungsdatensätze für die Domain.

Allerdings konnten die Experten von Kaspersky Lab – zumindest auf der Grundlage öffentlich verfügbarer Informationen – kein seriöses Unternehmen ermitteln, das sich an der in den Zertifikatsinformationen aufgeführten Adresse befindet.

Der Kommentar des Sicherheitsexperten

Vitaly Kamluk, leitender IT Sicherheitsexperte bei Kaspersky Lab sagte dazu:

„Seither hatte es die Gruppe – neben regulären Finanzorganisationen – mehrmals auf Kryptowährungsbörsen abgesehen. Die Tatsache, dass sie Malware entwickelt haben, um neben Windows- auch macOS-Nutzer zu infizieren, und höchstwahrscheinlich ein gefälschtes Software-Unternehmen und -Produkt geschaffen haben, um von Sicherheitslösungen unerkannte Malware zu verbreiten, zeigt, dass sie potenziell große Gewinne bei der gesamten Operation sehen. In naher Zukunft müssen wir deshalb mit mehr derartiger Fälle rechnen. Für macOS-Nutzer ist dieser Fall eine Warnung, insbesondere, wenn sie Macs für Kryptowährungsaktivitäten einsetzen.“

Die Lazarus-Gruppe ist für ihre ausgeklügelten Operationen und Verbindungen nach Nordkorea bekannt. Sie ist nicht nur für Cyberspionage und Cyberattacken berüchtigt, sondern auch für finanziell motivierte Angriffe.

Kaspersky Lab empfiehlt Sicherheitsmaßnahmen

Um sich vor komplexen Cyberattacken von Gruppen wie Lazarus zu schützen, rät Kaspersky Lab Sicherheitsexperten zu folgenden Maßnahmen:

  • Code, der auf Systemen ausgeführt wird, sollte nicht automatisch vertraut werden. Weder eine authentisch aussehende Webseite, noch ein starkes Unternehmensprofil oder digitale Zertifikate sind eine Garantie dafür, dass es keine Hintertüren gibt.
  • Es sollte eine robuste Sicherheitslösung verwendet werden, die mit Technologie zur Erkennung schädlicher Verhaltensweisen ausgestattet ist, mit denen auch bisher unbekannte Bedrohungen abgefangen werden können.
  • Das Sicherheitsteam eines Unternehmens sollte qualitativ hochwertige Threat-Intelligence-Reporting-Services nutzen, um frühzeitig auf Informationen über die neuesten Entwicklungen bezüglich Taktiken, Methoden und Verfahren hochentwickelter Bedrohungsakteure zugreifen zu können.
  • Zudem sollten Multi-Faktor-Authentifizierung und Hardware-Wallets eingesetzt werden, wenn wichtige finanzielle Transaktionen anstehen: vorzugsweise ein eigenständiger, isolierter Computer, der nicht zum Surfen oder zum Lesen von E-Mails verwendet wird.

Zurück

Diesen Beitrag teilen
oben