Operación applejeus lazarus realiza intercambio de criptomonedas con instalador falso y malware macos – comunicaciones a prueba de datos Bitcoin precio de venta

Lazarus ha sido un actor de gran amenaza en el campo de APT durante varios años. Junto a objetivos como el ciberespionaje y el ataque cibernético, el atacante ha estado apuntando a bancos y otras compañías financieras de todo el mundo. En los últimos meses, Lázaro ha comprometido con éxito a varios bancos y se ha infiltrado en varios mercados mundiales de criptomonedas y compañías fintech.

Kaspersky Lab ha estado ayudando con los esfuerzos de respuesta a incidentes. Mientras investigaba un intercambio de criptomonedas atacado por Lazarus, hicimos un descubrimiento inesperado. La víctima había sido infectada con la ayuda de una aplicación de comercio de criptomonedas truncarias, que se había recomendado a la empresa por correo electrónico. Resultó que un empleado desprevenido de la empresa había descargado voluntariamente una aplicación de terceros desde un sitio web legítimo y su computadora había sido infectada con malware conocido como Fallchill, una herramienta antigua a la que Lazarus recientemente ha cambiado. Ha habido varios informes sobre la reaparición de Fallchill, incluido uno de US-CERT.

Gracias a la tecnología de detección de comportamiento malicioso de Kaspersky Lab, implementada en su software de seguridad de punto final, pudimos volver a unir las etapas de la infección y rastrearlas hasta su origen. Esto nos ayudó a comprender que una de las víctimas de Lazarus estaba infectada con malware después de instalar un programa de comercio de criptomonedas. También confirmamos que el usuario instaló este programa a través de un enlace de descarga entregado por correo electrónico. Aplicación de comercio troyanizado para Windows

Una vez que el servidor responde, comprueba el código de respuesta HTTP. El código de respuesta HTTP 300 indica que el servidor no tiene ninguna tarea para el actualizador y la aplicación finaliza inmediatamente. Si la respuesta HTTP es el código 200, el actualizador obtiene los datos en la respuesta, los decodifica desde la codificación base64 y los descifra usando RC4 con la clave estática codificada “W29ab @ ad% Df324V $ Yd”. Calcula el MD5 de los datos decodificados y descifrados, que se compara con un valor almacenado en el interior, para verificar la integridad del archivo transferido. Después de eso, la carga útil se extrae y se guarda en una ubicación de archivo codificada “/ var / zdiffsec”, establece permisos ejecutables para todos los usuarios e inicia la aplicación con otro argumento secreto codificado de línea de comandos “bf6a0c760cc642”. Aparentemente, el argumento de la línea de comandos es la forma de evitar la detección de su funcionalidad maliciosa a través de sandboxes o incluso ingeniería inversa. Hemos visto anteriormente esta técnica adoptada por el grupo Lazarus en 2016 en ataques contra bancos. A partir de 2018, todavía está usando esto en casi todos los ataques que investigamos. Carga descargada

La búsqueda de la razón de la aparición del malware en el sistema reveló que había un proceso adicional responsable de producir varios archivos antes de que se lanzara este malware, lo que sugiere la implementación de un cuentagotas troyano. La función principal de este malware es implantar el cargador de puerta trasera Fallchill vinculado a varios archivos. Tras el lanzamiento, el malware comprueba uno de los argumentos de línea de comandos que se le pasaron. El malware elige uno de los nombres de servicio ubicados en el siguiente valor de registro como un disfraz:

El sitio web tenía un certificado SSL válido emitido por Comodo CA. Sin embargo, tenga en cuenta que el certificado de este servidor web menciona “Control de dominio validado”, que es un nivel de verificación de seguridad débil para un servidor web. No significa la validación de la identidad del propietario del sitio web, ni de la existencia real del negocio. Cuando las autoridades de certificación emiten este tipo de certificado, solo verifican que el propietario tenga cierto control sobre el nombre de dominio, que puede ser objeto de abuso de ciertas maneras. Certificado: Datos: Versión: 3 (0x2) Número de serie: 22: a6: 49: c1: ae: 61: 3f: 58: 5a: a5: e3: cb: 8b: 23: f0: 61 Algoritmo de firma: sha256WithRSAEncryption Issuer: C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Validación de dominio Servidor seguro CA Validez no antes: 29 de mayo 00:00:00 2018 GMT no después: 29 de mayo 23:59: 59 2019 GMT Asunto: OU = Control de dominio validado, OU = PositiveSSL, CN = celasllc.com Asunto Información de clave pública: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Módulo: 00: de: 0f: 58: f2: 68: 07: d2: 0f: 43: 5a: 07: c6: 53: b7: 4a: b4: 1c: 4c: 71: 4f: a1: 4e: 80: e3: 5a: ec: 3b: 90: a7: 91: ca: 42: 49: 71: ba: da: 33: 4c: e4: 4f: 1f: 86: d9: 30: 32: a0: b1: f4: b2: f2: 9c: 28: 97: 7c: 81: 0f: 02: d0: 9c: 36: f6: 9c: d6: f9: b5: ca: 23: ba: 1b: 84: e4: 0d: 8c: 9f: – Redactado –

Abajo está el registro WHOIS del dominio “celasllc.com”. El nombre de dominio fue registrado por un individuo llamado “John Broox” con la dirección de correo electrónico del registrante “johnbroox200 @ gmail [.] Com”. Nombre del solicitante de registro: John Broox Organización de registro: Registrante Calle: 2141 S Archer Ave Registrante Ciudad: Chicago Registrante Estado / Provincia: Illinois Registrante Código postal: 60601 Registrante País: US Registrante Teléfono: +1.8133205751 Registrante Correo electrónico: johnbroox200 @ gmail [.] Com … .. Nombre del servidor: 1a7ea920.bitcoin-dns.hosting Nombre del servidor: a8332f3a.bitcoin-dns.Nombre de alojamiento Servidor: ad636824.bitcoin-dns.hosting Servidor de nombres: c358ea2d.bitcoin-dns.hosting

El mismo nombre de “John Broox” se usó dentro del paquete de instalación de la versión de macOS de la aplicación comercial. El archivo de propiedades Info.plist describe el paquete de la siguiente manera: CFBundleVersion 1.00.00 CFBundleName Celas Trade Pro CFBundleIconFile CelasTradePro CFBundlePackageType APPL CFBundleGetInfoString Desarrollado por John Broox. CELAS LLC CFBundleSignature QTCELASTRADE CFBundleExecutable CelasTradePro CFBundleIdentifier com.celasllc.CelasTradePro NSPrincipalClass NSApplication NSHighResolutionCapable True LSMinimumSystemVersion 10.10.0

Antes que nada, el grupo Lazarus ha ingresado a una nueva plataforma: macOS. Existe un interés cada vez mayor en macOS por parte de los usuarios normales, especialmente en las empresas de TI. Muchos desarrolladores e ingenieros están cambiando a usar macOS. Al parecer, en la persecución de los usuarios avanzados, los desarrolladores de software de las cadenas de suministro y algunos objetivos de alto perfil, los actores de amenazas se ven obligados a tener herramientas de malware macOS. Creemos que, en el futuro, Lazarus respaldará todas las plataformas que los desarrolladores de software están utilizando como plataforma base, ya que comprometer a los desarrolladores abre muchas puertas a la vez.

No podemos decir con certeza si Celas LLC se vio comprometida y el actor de la amenaza abusó de ella para impulsar el malware a través de un mecanismo de actualización. Sin embargo, los múltiples intentos exitosos de Lazarus de comprometer a las empresas de la cadena de suministro sugieren que seguirá explorando este método de infección. Desde todos los ángulos, la historia de Celas LLC parece que el actor de amenazas ha encontrado una forma elaborada de crear un negocio de apariencia legítima e inyectar una carga maliciosa en un mecanismo de actualización de software de “aspecto legítimo”. Suena lógico: si uno no puede comprometer una cadena de suministro, ¿por qué no hacer una falsa?

Esto debería ser una lección para todos nosotros y una llamada de atención para las empresas que confían en un software de terceros. No confíe automáticamente en el código que se ejecuta en sus sistemas. Ni el sitio web atractivo, ni el sólido perfil de la empresa ni los certificados digitales garantizan la ausencia de puertas traseras. La confianza tiene que ser ganada y probada. ¡Mantenerse a salvo! Apéndice I – Indicadores de Hashes de archivos de compromiso (documentos maliciosos, troyanos, correos electrónicos, señuelos)

banner