AppleJeus reprend du service. Les utilisateurs macOS sont sans doute encore nombreux à se souvenir de ce logiciel malveillant utilisé par Lazarus. Il semble que ce malware ait bénéficié d'un upgrade d'après les dernières recherches menées par le groupe de chercheurs en sécurité de Kaspersky. Dans une note, ces derniers ont en effet décrit une évolution de la méthodologie d'attaque utilisée par le tristement célèbre groupe de cybercriminels nord-coréen. 

Le groupe Lazarus a en effet continué d'utiliser un mode opératoire similaire pour compromettre cette fois le business de la cryptomonnaie en développant d'autres logiciels malveillants personnalisés basés sur AppleJeus dont JMTTrading et UnionCryptoTrader. En poursuivant ses investigations, Kaspersky a pu déterminer que cette application disposait d'une version ciblant les utilisateurs Windows intégrant des accès vers la messagerie sécurisée Telegram.

Des faux sites web de cryptomonnaies piégés

« Nous avons trouvé plusieurs faux sites web qui étaient toujours en ligne lorsque nous avons enquêté sur leur infrastructure. Ils ont créé de faux sites web sur le thème des crypto-monnaies, mais ils étaient loin d'être parfaits et la plupart des liens ne fonctionnaient pas », a expliqué Kaspersky. L'éditeur de sécurité russe a détecté l'existence d'un modèle de site web truqué, Cyptian, qui a servi de base pour créer de faux sites web ou place de marché spécialisés dans les cryptomonnaies embarquant Telegram.

« Nous avons trouvé un modèle web Cyptian identique sur Internet. Nous supposons que le groupe a utilisé des modèles web gratuits comme celui-ci pour créer ses faux sites. De plus, il y a une adresse Telegram (@cyptian) sur le site web de Cyptian. Comme nous l'avons mentionné précédemment, le groupe a livré une application manipulée via Telegram Messenger. Cette adresse Telegram était toujours opérationnelle lorsque nous avons enquêté, mais il n'y avait plus d'activités à ce moment-là. Selon le journal de discussion, le groupe a été créé le 17 décembre 2018 et certains comptes avaient déjà été supprimés », poursuit l'éditeur de sécurité.