Новое вредоносное ПО для Mac скрывается в памяти и маскируется под Криптo приложение

Так называемое "безфайловое" вредоносное ПО заражает машины Mac OS, скрываясь в памяти и никогда не трогая файлы или диски. Вредоносное ПО, маскирующееся под часть программного обеспечения для торговли Криптo под названием UnionCryptoTrader.dmg, предположительно является работой северокорейской хакерской группы Lazurus APT.

Вредоносное ПО заражает компьютеры Mac OS, внедряя исполняемый файл в процесс загрузки, тем самым скрывая его от пользователя и затрудняя его удаление. Затем исполняемый файл LOOKS различные онлайн-полезные нагрузки и запускает их в памяти, гарантируя, что антивирусное программное обеспечение может пропустить вредоносное ПО после перезагрузок и других Мероприятия ОС. В конечном счете, антивирусному приложению очень мало что можно найти, поскольку полезная нагрузка со временем меняется, а вредоносное ПО имеет привилегии root на зараженных машинах.

Вредоносное ПО основано наAppleJeus созданный северокорейской хакерской группой Lazarus APT Group, и происходящий из рода бесфайловых троянов для Windows и Mac OS, которые маскируются под Криптo торговые приложения.

Злоумышленники создали кажущийся легитимным сайт для торговли Криптo под названием JMTTrading, который предлагал «умную платформу арбитражной торговли Криптовалюта ». Сайт в настоящее время работает, но, похоже, больше T распространяет вредоносное ПО.

«Кажется, разумно предположить, что Lazarus Group пока придерживается своего успешного вектора атак (направления на сотрудников криптовалютных бирж с помощью троянизированных торговых приложений)!» — написал Патрик Уордл на сайте безопасности.Цель-См.

По данным безопасностиисследовательская служба VirusTotalтолько 19 из 72 антивирусных приложений для Mac OS могут обнаружить вредоносное ПО.

Министерство финансов США ранее ввело санкции против северокорейских хакерских групп за попытку кражи криптовалют с помощью вредоносного ПО для оплаты военного оборудования.

«Министерство финансов принимает меры против северокорейских хакерских групп, которые совершают кибератаки для поддержки незаконных программ по созданию оружия и ракет», — заявила Сигал Манделькер, заместитель министра финансов по вопросам терроризма и финансовой разведки.Сентябрь«Мы продолжим обеспечивать соблюдение действующих санкций США и ООН против Северной Кореи и работать с международным сообществом над повышением кибербезопасности финансовых сетей».

Как репортерДэн Гудин отмечает, вредоносная программа выведет несколько запросов на ввод пароля, прежде чем заразит ваш компьютер, гарантируя, что будут заражены только те пользователи, которым больше всего нужна поддельная программа для Криптo , что, очевидно, слабое утешение для тех, кто кликнул и установил новый троян.

Основное изображение из Twitter