安全軟件公司卡巴斯基實驗室（Kaspersky Labs）的研究人員發(fā)現(xiàn)了一種新的MacOS（是一套運行于蘋果Macintosh系列電腦上的操作系統(tǒng)，是首個在商用領(lǐng)域成功的圖形用戶界面操作系統(tǒng)。）惡意軟件，該軟件可以偽裝成合法的交易應(yīng)用，侵入加密貨幣交易所和其他易受攻擊的目標(biāo)。

同樣的威脅，一種新的安裝包和一種改頭換面的操作方式-這可能是描述新的這種叫“AppleJeus”的惡意軟件的最好措辭。它的設(shè)計目的是潛入MacOS系統(tǒng)，偽裝成合法的交易應(yīng)用，如果它們認(rèn)為受感染的機(jī)器值得追擊，就會對其造成巨大破壞。

卡巴斯基實驗室的全球研究和分析小組的專家表示，“AppleJeus行動”是Lazarus集團(tuán)（Lazarus Group）的杰作。Lazarus集團(tuán)是一個臭名昭著的黑客團(tuán)體，據(jù)傳聞與朝鮮政府有著千絲萬縷的聯(lián)系。該集團(tuán)被認(rèn)為是背后的一些高調(diào)違規(guī)在過去和眾所周知的動機(jī)是財務(wù)目標(biāo)。

GReAT的研究人員在調(diào)查一個加密貨幣交易所的安全漏洞時遇到了AppleJeus。經(jīng)過進(jìn)一步的分析，他們認(rèn)為該惡意軟件是專門為攻擊運行蘋果MacOS的系統(tǒng)而設(shè)計的。惡意軟件的主要目標(biāo)之一似乎是加密貨幣交易所。

考慮到這是Lazarus集團(tuán)第一個專門針對MacOS的同類惡意軟件，該集團(tuán)很可能正試圖轉(zhuǎn)向范圍更廣的目標(biāo)平臺。

GReAT的報告指出，還有一個Linux版本的AppleJeus。如果是這樣的話，這將意味著臭名昭著的黑客集體正專注于構(gòu)建不同版本的相同惡意軟件，最大限度地減少兼容性問題，從而造成最大程度的破壞。卡巴斯基實驗室警告說，所有非Windows平臺都應(yīng)該把這看作是一個警鐘。

AppleJeus最令人震驚的一面是，它依賴于一款看似合法的交易應(yīng)用，名為CelasTradePro。該應(yīng)用程序的發(fā)行者Celas Limited擁有一份有效的數(shù)字證書，可以為其域名簽署軟件和看起來合法的注冊細(xì)節(jié)。

然而，進(jìn)一步的調(diào)查顯示，該公司提供的地址實際上是偽造的，并不以Celas Limited的名義經(jīng)營任何業(yè)務(wù)。這可能是第一個主要線索，當(dāng)研究人員查看CelasTradePro的代碼時，他們發(fā)現(xiàn)了一些更令人不安的東西。

根據(jù)這份報告，一旦用戶下載并在運行MacOS的計算機(jī)上安裝CelasTradePro，該應(yīng)用程序就會偷偷安裝一個隱藏的“自動更新程序”。

現(xiàn)在，自動更新在大多數(shù)應(yīng)用程序中是一個相當(dāng)常見的模塊。通常，他們的任務(wù)是在適當(dāng)?shù)挠脩魴?quán)限下自動搜索和下載更新版本的應(yīng)用程序。

然而，在Celas Trade Pro的情況下，自動更新程序被專門編程，在將數(shù)據(jù)發(fā)送到命令和控制服務(wù)器之前收集主機(jī)的信息。

然后，犯罪者攔截數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分析，以確定受感染的機(jī)器是否值得花時間。如果他們覺得“有趣”的話，下一步就是秘密下載一個名為FallChill的特洛伊木馬程序。如果不立即采取補救措施，F(xiàn)allChill可以為攻擊者提供幾乎無限的進(jìn)入受感染機(jī)器的機(jī)會，使黑客們能夠獲得有價值的財務(wù)數(shù)據(jù)（或他們想要的任何其他類型的數(shù)據(jù)）。