Нове шкідливе програмне забезпечення для Mac ховається в пам’яті та маскується під Крипто

Так зване «безфайлове» шкідливе програмне забезпечення заражає комп’ютери Mac OS, ховаючись у пам’яті та не торкаючись файлів чи дисків. Підозрюється, що зловмисне програмне забезпечення, яке маскується під частину програмного забезпечення для Крипто під назвою UnionCryptoTrader.dmg, належить північнокорейській хакерській групі Lazurus APT.

Зловмисне програмне забезпечення заражає комп’ютери Mac OS, вставляючи виконуваний файл у процес завантаження, тим самим приховуючи його від користувача та ускладнюючи його видалення. Потім виконуваний файл LOOKS різноманітні онлайн-корисні навантаження та запускає їх у пам’яті, гарантуючи, що антивірусне програмне забезпечення може пропустити зловмисне програмне забезпечення після перезавантаження та інших Заходи ОС. Зрештою, антивірусній програмі дуже мало що можна знайти, оскільки корисне навантаження змінюється з часом, а зловмисне програмне забезпечення має права root на заражених машинах.

Зловмисне програмне забезпечення засноване на AppleJeus від Lazarus APT Group, північнокорейської хакерської організації, і походить від лінії безфайлових троянів Windows і Mac OS, які маскуються під Крипто торгові програми.

Зловмисники створили легітимний веб-сайт Крипто торгівлі під назвою JMTTrading, який пропонував «інтелектуальну торгову платформу Криптовалюта арбітражу». Наразі веб-сайт працює, але, здається, більше T розповсюджує зловмисне програмне забезпечення.

«Здається розумним припустити, що Lazarus Group дотримується свого успішного вектору атаки (націлювання на співробітників криптовалютних бірж за допомогою троянських торгових додатків)… поки що!» написав Патрік Вордл на сайті безпеки Мета-Див.

За охороною дослідницький сервіс VirusTotalлише 19 із 72 антивірусних програм Mac OS можуть виявити зловмисне програмне забезпечення.

Міністерство фінансів США раніше наклало санкції на хакерські групи Північної Кореї за спроби викрадення криптовалюти за допомогою шкідливого програмного забезпечення з метою оплати військового обладнання.

«Міністерство фінансів вживає заходів проти хакерських груп Північної Кореї, які здійснюють кібератаки для підтримки незаконних програм із виробництва зброї та ракет», — сказав Сігал Манделкер, заступник міністра фінансів з питань тероризму та фінансової розвідки США. вересень. «Ми продовжуватимемо забезпечувати виконання існуючих санкцій США та ООН проти Північної Кореї та працюватимемо з міжнародним співтовариством над покращенням кібербезпеки фінансових мереж».

Як репортер Ден Гудін зазначає, зловмисне програмне забезпечення викличе кілька запитів пароля, перш ніж заразити ваш комп’ютер, гарантуючи, що будуть заражені лише ті користувачі, які найбільше потребують підробленого Крипто програмного забезпечення, що, очевидно, є холодним комфортом для тих, хто клацнув і встановив новий троян.

Головне зображення через Twitter