هاجمت البرمجيات الخبيثة المعروفة بعديمة الملفات “fileless” أجهزة نظام ماكنتوش Mac OS عن طريق الاختباء في الذاكرة دون المساس بالملفات أو محركات الأقراص الصلبة. ويشتبه في أن البرمجيات الخبيثة، التي تتنكر في هيئة أحد برامج تداول العملات المشفرة تسمى UnionCryptoTrader.dmg، ويُعتقد أنها من أعمال مجموعة القرصنة الكورية الشمالية لازاروس Lazurus APT.
هاجمت البرمجيات الخبيثة أجهزة نظام الماكنتوش عن طريق زرع ملف تشغيلي في عملية الإقلاع، مما يخفيه عن المستخدم ويجعل من الصعب إزالته. ثم يبحث الملف عن حمولات متعددة عبر الإنترنت ويقوم بتشغيلها في الذاكرة، مما يضمن أن برنامج مكافحة الفيروسات لن يكشف البرنامج الضار بعد إعادة التشغيل وتحميل عمليات النظام الأخرى. في النهاية، تتضاءل فرصة اكتشاف مكافح الفيروسات للملف بسبب تغير الحمولة بمرور الوقت، وتتمتع البرمجية الضارة بامتيازات الجذر على الأجهزة المصابة.
البرنامج الخبيث ثائم على برمجية حصان طروادة AppleJeus التي أنتجتها مجموعة لازاروس، وهي مجموعة قرصنة تابعة لكوريا الشمالية، وهو مشتق من سلالة من أحصنة طروادة عديمة الملفات تصيب أنظمة ويندوز وماكنتوش وتتنكر في هيئة أحد برامج تداول العملات المشفرة.
أنشأ المهاجمون موقعاً لتداول العملات المشفرة يسمى JMTTrading، إذ يقدم “منصة تداول ومراجحة ذكية للعملات مشفرة”. يعمل الموقع حالياً ولكن يبدو أنه توقف عن تسليم حمولة البرمجية الضارة.
وكتب باتريك واردلي في موقع الأمن المعلوماتي Objective-See: “من المعقول أن نفترض أن مجموعة لازاروس مستمرة في استغلال نقطة الهجوم الناجحة (أي استهداف موظفي منصات تداول العملات المشفرة باستخدام أحصنة طروادة) حتى الآن!”.
وفقاً لخدمة الأبحاث الأمنية VirusTotal، يمكن فقط لـ 19 من أصل 72 من برامج نظام ماكنتوش المضادة للفيروسات اكتشاف البرمجية الضارة.
وقد سبق لوزارة الخزانة الأميركية أن فرضت عقوبات على مجموعات الاختراق الكورية الشمالية لمحاولتها سرقة العملات المشفرة عبر نشر البرمجيات الضارة في محاولة لشراء المعدات العسكرية.
وقال سيغال ماندلكر، وكيل وزارة الخزانة لشؤون الإرهاب والاستخبارات المالية في سبتمبر/أيلول: “تتخذ وزارة الخزانة إجراءات ضد مجموعات القرصنة الكورية الشمالية التي ترتكب هجمات إلكترونية لدعم برامج الأسلحة والصواريخ غير المشروعة. وسنواصل فرض العقوبات الحالية بواسطة الولايات المتحدة والأمم المتحدة ضد كوريا الشمالية والعمل مع المجتمع الدولي لتحسين الأمن السيبراني للشبكات المالية”.
ومثلما يشير المراسل دان جودن، فإن البرمجيات الخبيثة ستظهر العديد من النوافذ التي تطلب إدخال كلمة المرور قبل أن تصيب جهاز الكمبيوتر الخاص بك، مما يضمن إصابة المستخدمين الأكثر احتياجًا إلى برنامج تشفير مزيف، وهو نبأ سيئ لمن قاموا بالنقر على حصان الطروادة الجديد وتثبيته.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.