新しいLazarusmacOSトロイの木馬はファイルレス技術を使用しています

新しいmacOSトロイの木馬が発見されました, どれの, 研究者は信じています, Lazarusハッキンググループによって開発されました. マルウェアはPatrickWardleによって分析されました.

でも, 別のセキュリティ研究者によって発見されました, ディネシュ・デバドス, ツイートで彼の発見を共有した人. Devadossは、マルウェアサンプルのハッシュも提供しました.

サンプルは次のようにパッケージ化されています UnionCryptoTrader, として知られているウェブサイトでホストされていました unioncrypto.vip, スマート暗号通貨裁定取引プラットフォームとして宣伝.

PatrickWardleが分析した新しいmacOSトロイの木馬

によると ウォードルの分析, マルウェアには ポストインストール をインストールするスクリプト vip.unioncrypto.plist 永続性を実現するためにデーモンを起動します. このスクリプトは、:

-非表示のplistを移動する (.vip.unioncrypto.plist) アプリケーションのResourcesディレクトリから/Library/LaunchDaemonsに
-ルートが所有するように設定します
-/ Library/UnionCryptoディレクトリを作成します
-非表示のバイナリを移動する (.unioncryptoupdater) アプリケーションのResourcesディレクトリから/Library/UnionCrypto/に移動します
このバイナリを実行します (/Library / UnionCrypto / unioncryptoupdater)

„起動デーモンをインストールするにはルートアクセスが必要ですが, インストーラーはユーザーに資格情報の入力を求めます. したがって, インストーラーが完了したら, バイナリunioncryptoupdaterは両方とも現在実行されます, 永続的にインストールされます,「ウォードルは言った.

隠された unioncryptoupdater バイナリは、システムが再起動されるたびに実行されます, これは、 RunAtLoad 真への鍵. バイナリは、基本的なシステム情報も収集できます, シリアル番号とOSバージョンを含む.

バイナリは、ペイロードについてコマンドおよび制御サーバーに接続することもできます, これは、攻撃の初期段階向けに設計されていることを示しています. でも, Wardleの分析は、現在コマンドアンドコントロールサーバーが「0」で応答していることを示しています, ペイロードが提供されないことを意味します.

ペイロードが欠落しているということは、Lazarusハッカーがすべての詳細を確定して実際の操作の準備をする前に、この新しいmacOSトロイの木馬が発見されたことを意味します。.

トロイの木馬はまだ持っています 低い検出率 VirusTotalで. それはとして検出することができます Trojan.OSX.Lazarus ( また トロイの木馬-Downloader.OSX.Agent.f.

Wardleはまた、マルウェアはペイロードのメモリ内実行を実現できると述べました. これ ファイルレス方式は、Windowsマルウェアでより一般的です しかし、macOSの脅威ではめったに見られません. したがって, ウォードルは次のように結論付けました。Lazarusグループは、進化し続ける機能を備えたmacOSユーザーを引き続きターゲットにしています.」

LazarusHackingGroupの詳細

Lazarusハッキンググループは北朝鮮から活動していると考えられており、注目を集めるターゲットに対して精巧なキャンペーンを計画していることで知られています。. 彼らの最初の攻撃は、分散型サービス拒否攻撃を使用した韓国の機関に対するものでした。 2009 と 2012.

このグループは、グループによって制御されるボットネットノードの大規模なネットワークを使用することで知られています. ほとんどの場合、それらはネットワークにそれらを募集するマルウェアコードに感染しているハッキングされたコンピュータで作られています. 攻撃が一度に開始されると、結合された集合的なネットワークパワーはサイトやコンピュータネットワークに壊滅的な打撃を与える可能性があります.