Accueil > Nouvelles Cyber > Le nouveau cheval de Troie macOS Lazarus utilise des techniques sans fichier
CYBER NOUVELLES

New Lazarus macOS cheval de Troie utilise des techniques Fileless

par   |  Dernière mise à jour:  |  0 Commentaires  

Un nouveau cheval de Troie macOS a été découvert, laquelle, chercheurs croient, a été développé par le groupe de piratage Lazarus. Le logiciel malveillant a été analysé par Patrick Wardle.

Cependant, il a été découvert par un autre chercheur de sécurité, Dinesh Devadoss, qui a partagé ses conclusions dans un tweet. Devadoss a également fourni un hachage pour l'échantillon des logiciels malveillants.

L'échantillon est conditionné comme UnionCryptoTrader, et a été hébergé sur un site Web connu sous le nom unioncrypto.vip, annoncé comme une plateforme de trading d'arbitrage intelligent crypto-monnaie.

Nouveau cheval de Troie macOS Analysée par Patrick Wardle

Selon L'analyse de Wardle, le logiciel malveillant a postinstall script qui installe le vip.unioncrypto.plist lancer démon pour atteindre la persistance. Ce script est conçu pour:

-déplacer un plist caché (.vip.unioncrypto.plist) du répertoire des ressources dans / Library / LaunchDaemons de l'application
-mis à appartenir à root
-créer un répertoire / Bibliothèque / UnionCrypto
-déplacer un fichier binaire caché (.unioncryptoupdater) à partir du répertoire des ressources de l'application dans / Library / UnionCrypto /
exécuter ce binaire (/Bibliothèque / UnionCrypto / unioncryptoupdater)

«Bien que l'installation d'un démon de lancement nécessite un accès root, le programme d'installation invite l'utilisateur à leurs lettres de créance. Ainsi, une fois que le programme d'installation finalise, le unioncryptoupdater binaire sera à la fois en cours d'exécution, et persistante installé,« A déclaré Wardle.

le caché unioncryptoupdater binaire se déroulera chaque fois que le système est redémarré, et cela se fait en définissant sa RunAtLoad clé true. Le binaire peut également recueillir des informations sur le système de base, y compris le numéro de série et la version OS.

Le binaire peut également communiquer avec un serveur de commande et de contrôle pour la charge utile, ce qui montre qu'il est conçu pour l'étape initiale de l'attaque. Cependant, Les points d'analyse de Wardle qu'actuellement la commande et de contrôle du serveur répond par un « 0 », ce qui signifie qu'aucune charge utile est fournie.




La charge utile manquante signifie probablement que ce nouveau cheval de Troie a été découvert macOS avant que les pirates Lazare ont eu la chance de finaliser tous les détails et préparez-vous pour les opérations réelles.

Le cheval de Troie a encore un faible taux de détection sur VirusTotal. Il peut être détecté comme Trojan.OSX.Lazarus ( ou Trojan-Downloader.OSX.Agent.f.

Wardle a également dit que le logiciel malveillant est capable de réaliser l'exécution en mémoire d'une charge utile. Ce méthode fileless est plus typique pour les logiciels malveillants de Windows mais il est rarement vu dans les menaces macos. Ainsi, Wardle a conclu que «groupe Lazare continue à macos cible les utilisateurs avec des capacités en constante évolution."

En savoir plus sur le Lazarus Group Hacking

Le groupe de piratage Lazare est censé fonctionner de la Corée du Nord et a été connu pour la planification des campagnes élaborées contre des cibles de grande envergure. Leurs premières attaques étaient contre les institutions sud-coréennes en utilisant les attaques par déni de service distribué en arrière 2009 et 2012.

Le groupe est connu d'utiliser de grands réseaux de noeuds de réseaux de robots qui sont contrôlés par le groupe. Dans la plupart des cas, ils sont faits d'ordinateurs piratés qui sont infectés par le code malveillant qui les recrute au réseau. La puissance collective du réseau combiné peut être dévastateur pour les sites et réseaux informatiques lorsque les attaques sont lancées à la fois.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Supprimer le virus Lazarus (.fichier Lazarus) - Lazare Ransomware What is .Lazarus virus .Lazarus virus is also known as...
  2. Virus Lazarus + (.Lazarus + Fichiers) - Comment faire pour supprimer de votre ordinateur Le virus .Lazarus+ est un rançongiciel qui est actuellement installé...
  3. .Virus vip Fichiers (GetCrypt) – Enleve Le Qu'est-ce que le virus de fichiers .VIP? Qu'est-ce que GetCrypt ransomware? Peut...
  4. Des pirates Lazarus APT liés à la Corée du Nord ont volé 400 millions de dollars en crypto-monnaie Selon un rapport Chainanalysis, North Korean hackers had a...
  5. Cadeaux vip chanceux Centre iPhone et Mac Scam suppression des virus Cet article a en fait été créé afin d'expliquer ...
  6. Virus Appzilla.vip Qu'est-ce qu'Appzilla.vip? Appzilla.vip is a malicious browser hijacker website...
  7. Tweaklink.vip est-il un virus? [Guide de suppression] Qu'est-ce que Tweaklink.vip? Tweaklink.vip is a suspicious website that may...
  8. Lazare groupe Les pirates informatiques sont derrière un dangereux nouveau phishing arnaque The infamous criminal collective known as the Lazarus Group have...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord