一种新的MacOS恶意软件正在将目标锁定在加密货币交易所

安全软件公司卡巴斯基实验室（Kaspersky Labs）的研究人员发现了一种新的MacOS（是一套运行于苹果Macintosh系列电脑上的操作系统，是首个在商用领域成功的图形用户界面操作系统。）恶意软件，该软件可以伪装成合法的交易应用，侵入加密货币交易所和其他易受攻击的目标。

同样的威胁，一种新的安装包和一种改头换面的操作方式-这可能是描述新的这种叫“AppleJeus”的恶意软件的最好措辞。它的设计目的是潜入MacOS系统，伪装成合法的交易应用，如果它们认为受感染的机器值得追击，就会对其造成巨大破坏。

卡巴斯基实验室的全球研究和分析小组的专家表示，“AppleJeus行动”是Lazarus集团（Lazarus Group）的杰作。Lazarus集团是一个臭名昭著的黑客团体，据传闻与朝鲜政府有着千丝万缕的联系。该集团被认为是背后的一些高调违规在过去和众所周知的动机是财务目标。

Lazarus集团针对MacOS的新恶意软件

GReAT的研究人员在调查一个加密货币交易所的安全漏洞时遇到了AppleJeus。经过进一步的分析，他们认为该恶意软件是专门为攻击运行苹果MacOS的系统而设计的。恶意软件的主要目标之一似乎是加密货币交易所。

考虑到这是Lazarus集团第一个专门针对MacOS的同类恶意软件，该集团很可能正试图转向范围更广的目标平台。

GReAT的报告指出，还有一个Linux版本的AppleJeus。如果是这样的话，这将意味着臭名昭著的黑客集体正专注于构建不同版本的相同恶意软件，最大限度地减少兼容性问题，从而造成最大程度的破坏。卡巴斯基实验室警告说，所有非Windows平台都应该把这看作是一个警钟。

伪装得很好的威胁

AppleJeus最令人震惊的一面是，它依赖于一款看似合法的交易应用，名为CelasTradePro。该应用程序的发行者Celas Limited拥有一份有效的数字证书，可以为其域名签署软件和看起来合法的注册细节。

然而，进一步的调查显示，该公司提供的地址实际上是伪造的，并不以Celas Limited的名义经营任何业务。这可能是第一个主要线索，当研究人员查看CelasTradePro的代码时，他们发现了一些更令人不安的东西。

AppleJeus是如何感染其目标的？

根据这份报告，一旦用户下载并在运行MacOS的计算机上安装CelasTradePro，该应用程序就会偷偷安装一个隐藏的“自动更新程序”。

现在，自动更新在大多数应用程序中是一个相当常见的模块。通常，他们的任务是在适当的用户权限下自动搜索和下载更新版本的应用程序。

然而，在Celas Trade Pro的情况下，自动更新程序被专门编程，在将数据发送到命令和控制服务器之前收集主机的信息。

然后，犯罪者拦截数据，并对数据进行分析，以确定受感染的机器是否值得花时间。如果他们觉得“有趣”的话，下一步就是秘密下载一个名为FallChill的特洛伊木马程序。如果不立即采取补救措施，FallChill可以为攻击者提供几乎无限的进入受感染机器的机会，使黑客们能够获得有价值的财务数据（或他们想要的任何其他类型的数据）。