Um novo MacOS Trojan foi descoberto, qual, pesquisadores acreditam, foi desenvolvido pelo grupo de hackers Lázaro. O malware foi analisada por Patrick Wardle.
Contudo, foi descoberto por um outro pesquisador de segurança, Dinesh Devadoss, que compartilhou suas descobertas em um tweet. Devadoss também proporcionado um hash para a amostra de malware.
A amostra é empacotado como UnionCryptoTrader, e foi hospedado em um site conhecido como unioncrypto.vip, anunciado como uma plataforma de negociação de arbitragem inteligente criptomoeda.
New MacOS Trojan Analisado por Patrick Wardle
De acordo com A análise de Wardle, o malware tem um postinstall script que instala o vip.unioncrypto.plist lançar daemon para alcançar persistência. Este script é projetado para:
-mover um plist escondida (.vip.unioncrypto.plist) do diretório de recursos do aplicativo em / Library / LaunchDaemons
-configurá-lo para ser propriedade de raiz
-criar uma biblioteca diretório / / UnionCrypto
-mover um binário escondido (.unioncryptoupdater) do diretório de recursos do aplicativo em / Library / UnionCrypto /
executar este binário (/Library / UnionCrypto / unioncryptoupdater)
“Embora a instalação de um daemon lançamento requer acesso root, o instalador irá solicitar ao usuário suas credenciais. portanto, uma vez que os concluída instalador, o unioncryptoupdater binário serão ambos atualmente em execução, e persistentemente instalado,“Wardle disse.
o escondidos unioncryptoupdater binário será executado cada vez que o sistema for reinicializado, e isso é feito definindo sua RunAtLoad chave para a verdadeira. O binário também pode coletar informações básicas do sistema, incluindo o número de série e versão do SO.
O binário também pode contatar um servidor de comando e controle para a carga, que mostra que é concebido para a fase inicial do ataque. Contudo, pontos de análise de Wardle que atualmente o servidor de comando e controle está respondendo com um “0”, o que significa que nenhuma carga é fornecido.
A carga útil faltando provavelmente significa que este novo MacOS Trojan foi descoberto antes que os hackers Lázaro teve a chance de finalizar todos os detalhes e se preparar para operações reais.
O cavalo de Tróia tem ainda uma taxa de detecção baixa no VirusTotal. Ele pode ser detectado como Trojan.OSX.Lazarus ( ou Trojan-Downloader.OSX.Agent.f.
Wardle também disse que o malware é capaz de alcançar a execução na memória de uma carga útil. este método fileless é mais típico para Windows malwares mas raramente é visto em ameaças MacOS. portanto, Wardle concluiu que “grupo Lázaro continua a utilizadores-alvo MacOS com recursos sempre em evolução.”
Mais sobre o Hacking Grupo Lázaro
Acredita-se que o grupo de hackers Lázaro estar operando a partir da Coreia do Norte e tem sido conhecido para o planejamento de campanhas elaboradas contra alvos de alto perfil. Seus primeiros ataques foram contra as instituições sul-coreano usando ataques de negação de serviço distribuído cópias em 2009 e 2012.
O grupo é conhecido para a utilização de grandes redes de nós de redes de bots que são controlados pelo grupo. Na maioria dos casos eles são feitos de computadores hackeados que estão infectados com código de malware que os recruta à rede. O poder rede coletiva combinado pode ser devastador para sites e redes de computadores quando os ataques são lançados de uma só vez.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: