Nuevo malware para Mac se esconde en la memoria y se hace pasar por una aplicación Cripto

El llamado malware "sin archivos" infecta equipos Mac OS ocultándose en la memoria y sin tocar archivos ni unidades. Se sospecha que este malware, que se hace pasar por un software de comercio de Cripto llamado UnionCryptoTrader.dmg, es obra del grupo de hackers norcoreano Lazurus APT.

El malware infecta ordenadores Mac OS inyectando un archivo ejecutable en el proceso de arranque, ocultándolo del usuario y dificultando su eliminación. El ejecutable LOOKS diversas cargas útiles en línea y las ejecuta en memoria, lo que impide que el software antivirus detecte el malware tras reinicios y otros Eventos del sistema operativo. En definitiva, una aplicación antivirus tiene muy poco que detectar, ya que la carga útil cambia con el tiempo y el malware tiene privilegios de root en los equipos infectados.

El malware se basa enAppleJeus por el Grupo APT Lazarus, un grupo de piratas informáticos de Corea del Norte, y proviene de un linaje de troyanos sin archivos de Windows y Mac OS que se hacen pasar por Cripto. aplicaciones comerciales.

Los atacantes crearon un sitio web de comercio de Cripto aparentemente legítimo, llamado JMTTrading, que ofrecía una "plataforma inteligente de arbitraje de Criptomonedas ". El sitio web está activo actualmente, pero parece que ya no distribuye su malware.

Parece razonable suponer que el Grupo Lazarus mantiene su exitoso método de ataque (atacar a empleados de plataformas de intercambio de criptomonedas con aplicaciones troyanizadas)... ¡por ahora!, escribió Patrick Wardle en un sitio de seguridad.Objetivo-Ver.

Según seguridadservicio de investigación VirusTotalSolo 19 de las 72 aplicaciones antivirus de Mac OS pueden detectar el malware.

El Departamento del Tesoro de Estados Unidos sancionó previamente a grupos de piratas informáticos norcoreanos por intentar robar criptomonedas a través de malware en un esfuerzo por pagar equipo militar.

“El Tesoro está tomando medidas contra los grupos de piratas informáticos norcoreanos que han estado perpetrando ataques cibernéticos para apoyar programas ilícitos de armas y misiles”, dijo Sigal Mandelker, subsecretaria del Tesoro para Terrorismo e Inteligencia Financiera.SeptiembreSeguiremos aplicando las sanciones vigentes de EE. UU. y la ONU contra Corea del Norte y colaboraremos con la comunidad internacional para mejorar la ciberseguridad de las redes financieras.

Como reporteroNotas de Dan GoodinEl malware solicitará múltiples contraseñas antes de infectar su computadora, lo que garantiza que solo los usuarios que más necesitan el software Cripto falso se infectarán, lo que obviamente es un pobre consuelo para quienes hicieron clic e instalaron el nuevo troyano.

Imagen principal vía Twitter