Acesta este primul caz în care cercetătorii Kaspersky Lab au observat că celebrul grup Lazarus a distribuit malware pentru utilizatorii de macOS şi este un semnal de alarmă pentru toţi cei care folosesc acest sistem de operare pentru activităţi legate de criptomonede.

Pe baza analizei realizate de echipa GReAT, pătrunderea în infrastructura casei de schimb a început în momentul în care un angajat a descărcat o aplicaţie de pe un site care părea legitim, al unei companii care dezvoltă software pentru schimbul de criptomonede.

Codul aplicaţiei nu pare suspect, cu excepţia unei singure componente, cea de actualizare. În software-ul legitim, astfel de componente sunt folosite pentru a descărca noi versiuni ale programelor. În cazul AppleJeus, se comportă ca un modul aflat în recunoaştere: mai întâi colectează informaţii generale despre computerul pe care a fost instalat, apoi trimite aceste informaţii la serverul de comandă şi control. Dacă atacatorii decid că merită să fie atacat acel computer, codul infectat revine sub forma unei actualizări. Aceasta instalează un troian cunoscut ca Fallchill, un instrument vechi pe care grupul Lazarus a început recent să-l refolosească. Pe baza indiciului respectiv, cercetătorii au avut un punct de plecare în atribuire. În momentul instalării, troianul Fallchill le oferă atacatorilor acces aproape nelimitat la computer, permiţându-le să fure informaţii financiare valoroase sau să lanseze alte instrumente în acest scop.

Infractorii au dezvoltat software atât pentru Windows, cât şi pentru platforma macOS. Ultima este, în general, mult mai puţin expusă la ameninţări cibernetice, comparativ cu Windows. Funcţionalitatea versiunilor pentru ambele platforme este exact aceeaşi.