Ein neuer macOS Trojan wurde aufgedeckt, was, Forscher glauben,, wurde von der Lazarus Hacking Gruppe entwickelt. Die Malware wurde von Patrick Wardle analysiert.
Jedoch, es wurde von einem anderen Sicherheitsforscher entdeckt, Dinesh Devadoss, die teilte seine Erkenntnisse in einem Tweet. Devadoss auch ein Hash für die Malware-Probe.
Die Probe wird als verpackte UnionCryptoTrader, und wurde auf einer Website gehostet bekannt als unioncrypto.vip, als Smart Kryptowährung Arbitrage-Handelsplattform beworben.
New macOS Trojan Analysiert von Patrick Wardle
Nach Wardles Analyse, die Malware hat ein post Skript, das das installiert vip.unioncrypto.plist Start-Daemon Ausdauer zu erreichen. Dieses Skript ist so konzipiert,:
-bewegen, um einen versteckten plist (.vip.unioncrypto.plist) aus der Ressourcenverzeichnis der Anwendung in / Library / LaunchDaemons
-setzen sie im Besitz von root werden
-erstellen / Library / UnionCrypto Verzeichnis
-bewegen, um eine versteckte Binär (.unioncryptoupdater) aus der Ressourcenverzeichnis der Anwendung in / Library / UnionCrypto /
führen Sie diesen binären (/Library / UnionCrypto / unioncryptoupdater)
„Obwohl eine Start-Daemon Installation erfordert Root-Zugriff, der Installer den Benutzer für ihre Anmeldeinformationen aufgefordert. So, Sobald der Installer abgeschlossen ist, die binären unioncryptoupdater sowohl aktuell ausgeführten, und beharrlich installiert,„Wardle sagte.
Der Versteckte unioncryptoupdater binär wird jedes Mal das System neu gestartet wird ausgeführt, und dies geschieht, indem sein RunAtLoad Schlüssel zu wahren. Die binären Sammeln auch grundlegende Systeminformationen, einschließlich Seriennummer und OS-Version.
Die binäre kann auch einen Befehls- und Steuerserver für die Nutzlast kontaktieren, der zeigt, dass es für die erste Phase des Angriffs ausgelegt ist. Jedoch, Wardles Analysepunkte, dass derzeit der Kommando- und Kontrollserver antwortet mit einem „0“, was bedeutet, dass keine Nutzlast zur Verfügung gestellt.
Die fehlende Nutzlast bedeutet wahrscheinlich, dass dieser neue macOS Trojan entdeckt wurde, bevor der Lazarus Hacker die Möglichkeit hatte, alle Details zu finalisieren und für die tatsächlichen Operationen bereit.
Der Trojaner hat immer noch eine niedrige Erkennungsrate auf Virustotal. Es kann als nachgewiesen werden Trojan.OSX.Lazarus ( oder Trojan-Downloader.OSX.Agent.f.
Wardle auch gesagt, dass sich die Malware-Speicher in der Erreichung der Ausführung einer Nutzlast der Lage ist,. Dies Dateilos Methode ist typisch für Windows Malware aber selten in macOS Bedrohungen gesehen. So, Wardle dem Schluss, dass „Lazarus-Gruppe weiterhin Ziel macOS Benutzer mit sich immer weiter entwickelnden Fähigkeiten."
Mehr zu der Lazarus Hacking-Gruppe
Die Lazarus Hacking Gruppe wird angenommen, aus Nordkorea in Betrieb sein und hat für die Planung aufwendige Kampagnen gegen hochkarätige Ziele bekannt. Ihre erste Angriffe waren gegen südkoreanische Institutionen mit Distributed-Denial-of-Service-Attacken zurück in 2009 und 2012.
Die Gruppe wird für die Verwendung von großen Netzwerken von Botnet Knoten bekannt, die von der Gruppe gesteuert werden,. In den meisten Fällen werden sie von gehackten Computern gemacht, die mit Malware-Code infiziert sind, die sie an das Netzwerk rekrutiert. Die kombinierte kollektive Netzwerk-Power kann auf Websites und Computer-Netzwerke verheerend sein, wenn die Angriffe auf einmal gestartet werden.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: