Los investigadores de seguridad han encontrado una nueva muestra de malware macOS que se cree que es el trabajo del grupo de hackers norcoreanos conocido como Lazarus.
La amenaza tiene una tasa de detección muy baja y viene con capacidades que le permiten recuperar una carga útil desde una ubicación remota y ejecutarla en la memoria, lo que dificulta el análisis forense.
Amenaza macOS en la plataforma de negociación
El investigador de malware Dinesh Devadoss proporcionó el martes un hash para una nueva muestra de malware macOS que podría cargar un archivo ejecutable mach-O de la memoria y ejecutarlo.
La comprobación de la muestra en VirusTotal muestra que su detección es casi inexistente. Al momento de escribir, solo cuatro motores antivirus lo señalaron como malicioso, mejorando a cinco en el momento de la publicación.
El investigador de seguridad y hacker de macOS Patrick Wardle analizó el malware encontrado por Devadoss y determinó que "hay algunas superposiciones claras" con otro implante de primera etapa atribuido al Grupo Lazarus y encontrado por MalwareHunterTeam hace menos de dos meses.
Esta nueva muestra está empaquetada bajo el nombre de UnionCryptoTrader y fue alojada en un sitio web llamado "unioncrypto.vip" que anuncia una "plataforma inteligente de comercio de arbitraje de criptomonedas" pero no proporciona enlaces de descarga.
El paquete no está firmado, lo que significa que al abrirlo se activará una advertencia del sistema operativo (SO).
En un análisis detallado publicado hoy, el investigador señala que el malware tiene un script 'postinstall' que instala el demonio de lanzamiento 'vip.unioncrypto.plist' para persistencia. El script tiene los siguientes atributos:
- Mover una lista oculta (.vip.unioncrypto.plist) del directorio de Recursos de la aplicación a / Library / LaunchDaemons
- Configurarlo para que sea propiedad de root
- Crear un directorio / Library / UnionCrypto
- Mover un binario oculto (.unioncryptoupdater) desde el directorio de Recursos de la aplicación a / Library / UnionCrypto /
- Ejecutar este binario (/ Library / UnionCrypto / unioncryptoupdater)
El binario oculto 'unioncryptoupdater' se configura para ejecutarse en cada reinicio del sistema al establecer su clave RunAtLoad en true. Según el análisis de Wardle, puede recopilar información básica sobre el sistema, como el número de serie y la versión del sistema operativo.
Se pone en contacto con un servidor de comando y control (C2), que puede proporcionar una carga útil para ejecutar. Esto indica que 'unioncryptoupdater' está diseñado para la etapa inicial de un ataque.
"En este momento, mientras el servidor de control y comando remoto permanece en línea, simplemente responde con un" 0 ", lo que significa que no se proporciona carga útil", encontró Wardle.
La falta de un certificado válido y la carga útil faltante podrían sugerir que se descubrió el malware antes de que el atacante pudiera preparar todos los detalles de la operación.
El investigador también explica cómo el malware logra la ejecución en memoria de una carga útil, un método que presentó hace cuatro años en la conferencia de seguridad BlackHat.
Malware sin archivos macOS
Si bien la ejecución de un archivo en la memoria es una característica común en el malware para Windows, el truco es raro en macOS y está comenzando a ganar popularidad.
Una de las pocas familias de malware capaces de esto es Gmera, un troyano que los investigadores de Trend Micro descubrieron en septiembre y que también se hizo pasar por una aplicación de comercio en línea.
El análisis de Sentinel One reveló que a pesar de tener una tasa de detección muy baja en ese momento, Gmera también fue capaz de decodificar y ejecutar una carga útil en la memoria, un script ofuscado en este caso.
Patrón de AppleJeus
Wardle cree que este malware fue creado por el grupo Lazarus y la evidencia anterior respalda esta teoría.
En octubre, MalwareHunterTeam descubrió que un atacante había creado una compañía falsa que ofrecía una plataforma gratuita llamada JMT Trader para el comercio de criptomonedas. Cualquiera que lo instale en macOS o Windows obtendría una puerta trasera en el sistema.
Todo esto tiene una sorprendente similitud con un ataque llamado Operación AppleJeus , descubierto y atribuido por Kaspersky al grupo APT Lazarus asociado con Corea del Norte.
Se usó una aplicación de comercio de criptomonedas trojanizadas en ese ataque, firmada con un certificado válido emitido para una empresa que no existía en la dirección que figura en la información del certificado.
Fecha actualización el 2021-12-04. Fecha publicación el 2019-12-04. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil