20/02/21
ФБР, CISA и министерство финансов США опубликовали подробную информацию о вредоносных и фальшивых приложениях для торговли криптовалютой, используемых северокорейскими хакерами с целью кражи криптовалюты у частных лиц и компаний по всему миру.
Поддельные приложения были разработаны и заражены вредоносом AppleJeus киберпреступной группировкой Lazarus Group. Хакеры разработали и использовали несколько версий AppleJeus с момента обнаружения вредоносной программы в 2018 году.
Большинство версий доставляются под видом безопасных приложений через сайты, контролируемые злоумышленниками и имитирующие легитимные сайты и компании. В общей сложности было выявлено семь версий вредоноса AppleJeus: Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio и Ants2Whale.
В одном из случаев преступники организовали фишинговую рассылку от имени компании Celas LLC. Письма содержали ссылки на сайт Celas для скачивания зараженного приложения для торговли криптовалютой. Примечательно, что сайт имел действительные сертификаты безопасности в соответствии с моделью Domain Control Validated, не позволяющей достоверно установить владельца сайта или существование компании.
Более новая версия AppleJeus называлась JMT Trading и распространялась от лица одноименной компании. В данном случае скачать программу предлагалось из репозитория на GitHub. Другая программа UnionCryptoTrader имитировала приложение для арбитража криптовалют Blackbird Bitcoin Arbitrage. Kupay Wallet, в свою очередь, поставлялся как кошелек и во многом был схож с платформой с открытым исходным кодом Copay американской компании BitPay.
