Un nuevo troyano macOS ha sido descubierto, cual, investigadores creen, fue desarrollado por el grupo de hackers Lázaro. El malware ha sido analizado por Patrick Wardle.
Sin embargo, que fue descubierto por otro investigador de seguridad, Dinesh Devadoss, quien compartió sus hallazgos en un tweet. Devadoss también proporcionó un hash para la muestra de malware.
La muestra se empaqueta como UnionCryptoTrader, y fue alojado en un sitio web conocido como unioncrypto.vip, se anuncia como una plataforma de comercio de arbitraje criptomoneda inteligentes.
Nueva macOS Troya analizados por Patrick Wardle
De acuerdo a El análisis de Wardle, el malware tiene una postinstall script que instala el vip.unioncrypto.plist lanzar el demonio para lograr la persistencia. Este script está diseñado para:
-mover un plist oculta (.vip.unioncrypto.plist) desde el directorio de recursos de la aplicación en / Library / LaunchDaemons
-ponerlo a ser propiedad de root
-crear un directorio / Library / UnionCrypto
-mover un binario oculta (.unioncryptoupdater) desde el directorio de recursos de la aplicación en / Library / UnionCrypto /
ejecutar este binario (/Biblioteca / UnionCrypto / unioncryptoupdater)
“Aunque la instalación de un demonio de lanzamiento requiere acceso root, el instalador le pedirá al usuario por sus credenciales. Por lo tanto, una vez completado el instalador, la unioncryptoupdater binario tanto se está ejecutando actualmente, y persistentemente instalado,“Dijo Wardle.
Lo oculto unioncryptoupdater binaria se ejecutará cada vez que se reinicie el sistema, y esto se hace mediante el establecimiento de su RunAtLoad clave de la verdadera. El binario también puede recoger información básica del sistema, incluyendo el número de serie y la versión del sistema operativo.
El binario también puede ponerse en contacto con un servidor de comando y control para la carga útil, lo que demuestra que está diseñado para la etapa inicial del ataque. Sin embargo, puntos de análisis de Wardle que actualmente el servidor de comando y control está respondiendo con un “0”, lo que significa que no se proporciona ninguna carga útil.
La carga útil que faltan probablemente significa que esta nueva macOS Troya fue descubierto antes de que los piratas informáticos Lazarus tuvieron la oportunidad de ultimar todos los detalles y estar listo para las operaciones reales.
El troyano todavía tiene una tasa de detección baja en VirusTotal. Puede ser detectado como Trojan.OSX.Lazarus ( o Trojan-Downloader.OSX.Agent.f.
Wardle también dijo que el malware es capaz de lograr la ejecución en memoria de una carga útil. Este sin archivo método es más típico de malware para Windows pero rara vez se ve en las amenazas MacOS. Por lo tanto, Wardle llegó a la conclusión de que “grupo Lázaro sigue MacOS usuarios objetivo con capacidades en constante evolución."
Más acerca de la piratería Grupo Lázaro
El grupo de hackers Lázaro se cree que está operando desde Corea del Norte y ha sido conocido para la planificación de campañas elaboradas contra objetivos de alto perfil. Sus primeros ataques fueron contra las instituciones de Corea del Sur el uso de ataques distribuidos de denegación de servicio en la espalda 2009 y 2012.
El grupo es conocido por el uso de grandes redes de nodos de redes de bots que son controlados por el grupo de. En la mayoría de los casos se hacen de los ordenadores hackeados que están infectados con código malicioso que los recluta a la red. La potencia de la red colectiva combinada puede ser devastador para los sitios y redes informáticas, cuando los ataques son lanzados a la vez.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: