Hjem > Cyber ​​Nyheder > Ny Lazarus macOS Trojan bruger fileløse teknikker
CYBER NEWS

Ny Lazarus Macos Trojan bruger Fileless Teknikker

En ny MacOS Trojan er blevet afsløret, hvilken, forskere mener, blev udviklet af Lazarus hacking gruppe. Malwaren er blevet analyseret af Patrick Wardle.

Men, Det blev opdaget af en anden sikkerhedsekspert, Dinesh Devadoss, der delte sine resultater i et tweet. Devadoss gav også en hash for malware prøve.

Prøven er emballeret som UnionCryptoTrader, og var vært på en hjemmeside kaldet unioncrypto.vip, annonceret som en smart cryptocurrency arbitrage handelsplatform.

Nyt MacOS Trojan Analyseret af Patrick Wardle

Ifølge Wardle analyse, malwaren har en postinstall script, der installerer vip.unioncrypto.plist lancere dæmonen til at opnå vedholdenhed. Dette script er designet til at:

-flytte en skjult plist (.vip.unioncrypto.plist) fra mappen programmets Resources i / Library / LaunchDaemons
-sæt den til være ejet af root
-skabe en / Bibliotek / UnionCrypto biblioteket
-flytte en skjult binær (.unioncryptoupdater) fra mappen programmets Resources i / Library / UnionCrypto /
udføre denne binære (/Bibliotek / UnionCrypto / unioncryptoupdater)

Selvom du installerer en lancering dæmon kræver root-adgang, installatøren vil bede brugeren om deres legitimationsoplysninger. Således, når installationsprogrammet fuldender, den binære unioncryptoupdater vil begge i øjeblikket udfører, og vedholdende installeret,”Wardle sagde.

den skjulte unioncryptoupdater binær vil køre hver gang systemet genstartes, og dette gøres ved at sætte sin RunAtLoad nøglen til sand. Den binære kan også indsamle grundlæggende system oplysninger, herunder serienummer og OS-version.

Den binære kan også kontakte en kommando og kontrol-server for nyttelast, som viser, at det er designet til den indledende fase af angrebet. Men, Wardle s analyse punkter, som i øjeblikket den kommando og kontrol serveren svarer med et ”0”, hvilket betyder, at ingen nyttelast leveres.




Den manglende nyttelast betyder formentlig, at denne nye MacOS trojanske blev opdaget før Lazarus hackere haft mulighed for at færdiggøre alle detaljer og blive klar til egentlige operationer.

Den trojanske har stadig en lav opdagelsesrate på VirusTotal. Det kan påvises som Trojan.OSX.Lazarus ( eller Trojan-Downloader.OSX.Agent.f.

Wardle sagde også, at malware er i stand til at opnå i-hukommelse udførelse af en nyttelast. Dette fileless metode er mere typisk for Windows malware men ses sjældent i MacOS trusler. Således, Wardle konkluderede, at ”Lazarus gruppe fortsætter med at target MacOS brugere med stadigt skiftende kapaciteter."

Mere om Lazarus Hacking Group

Den Lazarus hacking gruppe menes at være i drift fra Nordkorea og har været kendt for at planlægge kunstfærdige kampagner mod højt profilerede mål. Deres første angreb var mod sydkoreanske institutioner bruger distribuerede denial-of-service-angreb sikkerhedskopiere i 2009 og 2012.

Gruppen er kendt for at bruge store netværk af botnet knudepunkter, som kontrolleres af gruppen. I de fleste tilfælde de er lavet af hackede computere, der er inficeret med malware kode, rekrutterer dem til netværket. Den kombinerede kollektive netværk magt kan være ødelæggende for websteder og computernetværk, når angrebene er lanceret på en gang.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig