Novo malware para Mac se esconde na memória e se disfarça como um aplicativo de Cripto

O chamado malware "fileless" está infectando máquinas Mac OS se escondendo na memória e nunca tocando em arquivos ou drives. O malware, disfarçado como um pedaço de software de negociação de Cripto chamado UnionCryptoTrader.dmg, é suspeito de ser obra do grupo de hackers norte-coreano, Lazurus APT.

O malware infecta computadores Mac OS injetando um arquivo executável no processo de inicialização, ocultando-o do usuário e dificultando sua remoção. O executável então LOOKS por várias cargas úteis online e as executa na memória, garantindo que o software antivírus possa perder o malware após reinicializações e outros Eventos do sistema operacional. No final das contas, há muito pouco para um aplicativo antivírus encontrar, pois a carga útil muda ao longo do tempo e o malware tem privilégios de root nas máquinas infectadas.

O malware é baseado emAppleJeus pelo Lazarus APT Group, um grupo de hackers norte-coreano, e vem de uma linhagem de cavalos de Troia sem arquivos do Windows e Mac OS que se disfarçam de Cripto aplicativos de negociação.

Os invasores criaram um site de negociação de Cripto aparentemente legítimo chamado JMTTrading, que oferecia uma "plataforma inteligente de negociação de arbitragem de Criptomoeda ". O site está ativo no momento, mas parece T estar mais entregando sua carga de malware.

"Parece razoável supor que o Lazarus Group está mantendo seu vetor de ataque bem-sucedido (de atingir funcionários de bolsas de criptomoedas com aplicativos de negociação trojanizados)... por enquanto!" escreveu Patrick Wardle no site de segurançaObjetivo-Ver.

De acordo com a segurançaserviço de pesquisa VirusTotal, apenas 19 dos 72 aplicativos antivírus do Mac OS conseguem detectar o malware.

O Departamento do Tesouro dos EUA já sancionou grupos de hackers norte-coreanos por tentarem roubar criptomoedas por meio de malware, em uma tentativa de pagar por equipamento militar.

“O Tesouro está tomando medidas contra os grupos de hackers norte-coreanos que têm perpetrado ataques cibernéticos para apoiar programas ilícitos de armas e mísseis”, disse Sigal Mandelker, subsecretário do Tesouro para Terrorismo e Inteligência Financeira emSetembro. “Continuaremos a aplicar as sanções existentes dos EUA e da ONU contra a Coreia do Norte e trabalharemos com a comunidade internacional para melhorar a segurança cibernética das redes financeiras.”

Como repórterNotas de Dan Goodin, o malware exibirá várias solicitações de senha antes de infectar seu computador, garantindo que apenas os usuários que mais precisam de software de Cripto falso sejam infectados, o que obviamente não é um consolo para aqueles que clicaram e instalaram o novo Trojan.

Imagem principal via Twitter