Een nieuwe MacOS Trojan is blootgelegd, die, onderzoekers geloven, werd ontwikkeld door de Lazarus hacken groep. De malware is geanalyseerd door Patrick Wardle.
Echter, Het werd ontdekt door een andere security-onderzoeker, Dinesh Devadoss, die zijn bevindingen gedeeld in een tweet. Devadoss verschaft ook een hash voor malware sample.
Het monster wordt verpakt als UnionCryptoTrader, en werd gehost op een website die bekend staat als unioncrypto.vip, geadverteerd als een slimme cryptogeld arbitrage trading platform.
Nieuwe MacOS Trojan Uitgesplitst naar Patrick Wardle
Volgens analyse Wardle's, de malware een postinstall script dat installeert de vip.unioncrypto.plist lanceren daemon persistentie bereiken. Dit script is ontworpen om:
-verplaatsen van een verborgen plist (.vip.unioncrypto.plist) van de toepassing Resources directory in / Library / LaunchDaemons
-stel deze in eigendom zijn van wortel
-het creëren van een / Library / UnionCrypto directory
-verplaatsen van een verborgen binaire (.unioncryptoupdater) van de toepassing Resources directory in / Library / UnionCrypto /
voeren deze binaire (/Bibliotheek / UnionCrypto / unioncryptoupdater)
“Hoewel het installeren van een lancering daemon vereist root-toegang, de installateur zal de gebruiker om hun geloofsbrieven prompt. Zo, zodra het installatieprogramma is voltooid, de binaire unioncryptoupdater zullen beide momenteel wordt uitgevoerd, en aanhoudend geïnstalleerd,“Wardle zei.
Het verborgen unioncryptoupdater binary zal elke keer dat het systeem opnieuw wordt opgestart draaien, en dit wordt gedaan door het instellen van haar RunAtLoad sleutel tot echte. De binaire kan ook verzamelen elementaire systeeminformatie, met inbegrip van het serienummer en OS-versie.
De binaire kan ook contact opnemen met een command and control-server voor de payload, E geeft aan dat het is ontworpen voor de eerste fase van de aanval. Echter, Wardle analyse punten die op dit moment de command and control-server reageert met een “0”, betekent dat er geen lading verschaft.
De ontbrekende payload betekent waarschijnlijk dat deze nieuwe MacOS Trojan werd ontdekt voordat de Lazarus hackers de kans om alle details af te ronden en maak je klaar voor de werkelijke activiteiten behaalden.
De Trojan heeft nog steeds een lage detectiepercentage op VirusTotal. Het kan worden gedetecteerd als Trojan.OSX.Lazarus ( of Trojan-Downloader.OSX.Agent.f.
Wardle ook gezegd dat de malware kan bereiken in het geheugen uitvoeren van een nuttige last. Deze fileless methode is typerend voor Windows malware maar is zelden gezien in MacOS bedreigingen. Zo, Wardle concludeerde dat “Lazarus-groep zet zijn doel MacOS gebruikers te voorzien van steeds evoluerende mogelijkheden."
Meer over de Lazarus Hacking Group
De Lazarus hacken groep wordt verondersteld te worden die vanuit Noord-Korea en is bekend voor het plannen van uitgebreide campagnes tegen high-profile doelen. Hun eerste aanvallen waren gericht tegen de Zuid-Koreaanse instellingen die gebruik maken gedistribueerde denial-of-service weer in 2009 en 2012.
De groep is bekend voor het gebruik van grote netwerken botnet knooppunten die worden gecontroleerd door de groep. In de meeste gevallen worden ze gemaakt van gehackte computers die zijn geïnfecteerd met malware code die hen werft aan het netwerk. De gecombineerde collectieve macht netwerk kan verwoestende naar sites en computernetwerken zijn wanneer de aanvallen worden gelanceerd in een keer.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: