Un nuovo MacOS Trojan è stato scoperto, quale, ricercatori ritengono, è stato sviluppato dal gruppo di hacker Lazzaro. Il malware è stato analizzato da Patrick Wardle.
Tuttavia, è stato scoperto da un altro ricercatore di sicurezza, dinesh Devadoss, che ha condiviso le sue scoperte in un tweet. Devadoss anche fornito un hash per il campione di malware.
Il campione è confezionato come UnionCryptoTrader, ed è stato ospitato su un sito web noto come unioncrypto.vip, pubblicizzato come una piattaforma di trading di arbitraggio intelligente criptovaluta.
Nuovo MacOS Trojan analizzata da Patrick Wardle
Secondo L'analisi di Wardle, il malware ha una postinstall script che installa il vip.unioncrypto.plist lanciare il demone di raggiungere la persistenza. Questo script è stato progettato per:
-spostare un plist nascosta (.vip.unioncrypto.plist) dalla directory delle risorse dell'applicazione in / Library / LaunchDaemons
-impostarlo per essere di proprietà di root
-creare una directory / Library / UnionCrypto
-spostare un binario nascosto (.unioncryptoupdater) dalla directory delle risorse dell'applicazione in / Library / UnionCrypto /
eseguire questo binario (/Library / UnionCrypto / unioncryptoupdater)
“Anche se l'installazione di un demone di lancio richiede l'accesso di root, il programma di installazione richiederà all'utente le credenziali. Così, una volta che il completamento del programma di installazione, l'unioncryptoupdater binaria sia attualmente in esecuzione, e con insistenza installato,“Ha detto Wardle.
Il nascosto unioncryptoupdater binaria viene eseguita ogni volta che il sistema viene riavviato, e questo è fatto impostando il suo RunAtLoad chiave della vera. Il binario può anche raccogliere informazioni di base del sistema, tra cui il numero di serie e la versione del sistema operativo.
Il binario può anche contattare un server di comando e controllo per il carico utile, che mostra che è stato progettato per la fase iniziale dell'attacco. Tuttavia, punti di analisi di Wardle che attualmente il server di comando e controllo sta rispondendo con uno “0”, il che significa che non è previsto payload.
Il carico utile manca probabilmente significa che questo nuovo MacOS Trojan è stato scoperto prima che gli hacker Lazzaro hanno avuto la possibilità di finalizzare tutti i dettagli e si preparano per operazioni reali.
Il Trojan ha ancora un tasso di rilevamento basso su VirusTotal. Esso può essere rilevato come Trojan.OSX.Lazarus ( o Trojan-Downloader.OSX.Agent.f.
Wardle anche detto che il malware è in grado di raggiungere esecuzione in memoria di un payload. Questo Metodo fileless è più tipico per Windows di malware ma è raramente visto in MacOS minacce. Così, Wardle ha concluso che “gruppo Lazzaro continua a bersaglio MacOS agli utenti funzionalità sempre in evoluzione."
Ulteriori informazioni sul Gruppo Hacking Lazzaro
Il gruppo di hacker Lazzaro si crede di essere operativo dalla Corea del Nord ed è stato conosciuto per la pianificazione di campagne elaborate contro obiettivi di alto profilo. I loro primi attacchi erano contro le istituzioni della Corea del Sud utilizzando distribuiti attacchi denial-of-service nel 2009 e 2012.
Il gruppo è noto per l'utilizzo grandi reti di nodi botnet che sono controllati dal gruppo. Nella maggior parte dei casi essi sono fatti di computer hacked che sono infettati con il codice malware che li recluta alla rete. La potenza combinata rete collettiva può essere devastante per i siti e le reti di computer quando gli attacchi sono lanciati in una sola volta.