Nuovo malware per Mac si nasconde nella memoria e si maschera da app Cripto

Il cosiddetto malware "fileless" infetta i computer Mac OS nascondendosi nella memoria e senza mai toccare file o unità. Il malware, mascherato da un software di trading Cripto chiamato UnionCryptoTrader.dmg, si sospetta sia opera del gruppo di hacker nordcoreano Lazurus APT.

Il malware infetta i computer Mac OS iniettando un file eseguibile nel processo di avvio, nascondendolo all'utente e rendendone difficile la rimozione. L'eseguibile LOOKS quindi vari payload online e li esegue in memoria, assicurando che il software antivirus non rilevi il malware dopo i riavvii e altri Eventi del sistema operativo. In definitiva, c'è ben poco che un'app antivirus possa trovare, poiché il payload cambia nel tempo e il malware ha privilegi di root sulle macchine infette.

Il malware si basa suMelaGesù dal Lazarus APT Group, un'organizzazione di hacker nordcoreana, e deriva da una stirpe di trojan Windows e Mac OS senza file che si mascherano da Cripto app di trading.

Gli aggressori hanno creato un sito web di Cripto dall'aspetto legittimo chiamato JMTTrading, che offriva una "piattaforma di trading di arbitraggio Criptovaluta intelligente". Il sito web è attualmente attivo, ma T sembra più distribuire il suo payload malware.

"Sembra ragionevole supporre che Lazarus Group stia continuando con il suo vettore di attacco di successo (prendendo di mira i dipendenti degli exchange di criptovalute con applicazioni di trading trojanizzate) ... per ora!" ha scritto Patrick Wardle sul sito di sicurezzaObiettivo-Vedi.

Secondo la sicurezzaservizio di ricerca VirusTotal, solo 19 delle 72 app antivirus per Mac OS riescono a rilevare il malware.

In precedenza, il Dipartimento del Tesoro degli Stati Uniti aveva sanzionato gruppi di hacker nordcoreani per aver tentato di rubare criptovalute tramite malware nel tentativo di pagare equipaggiamento militare.

"Il Tesoro sta prendendo provvedimenti contro i gruppi di hacker nordcoreani che hanno perpetrato attacchi informatici per sostenere programmi illeciti di armi e missili", ha affermato Sigal Mandelker, Sottosegretario del Tesoro per il terrorismo e l'intelligence finanziaria nelsettembre“Continueremo a far rispettare le sanzioni statunitensi e ONU esistenti contro la Corea del Nord e collaboreremo con la comunità internazionale per migliorare la sicurezza informatica delle reti finanziarie”.

Come reporterNote di Dan Goodin, il malware richiederà più volte la password prima di infettare il computer, assicurando che solo gli utenti che hanno maggiormente bisogno di software Cripto falso vengano infettati, il che è ovviamente una magra consolazione per coloro che hanno cliccato e installato il nuovo Trojan.

Immagine principale tramite Twitter