Nhà nghiên cứu đã phát hiện ra một trojan MacOS ẩn đằng sau một sàn giao dịch tiền điện tử giả được cho là công việc của các tin tặc Bắc Triều Tiên được nhà nước bảo trợ đằng sau WannaCry.
Các nhà nghiên cứu đã xác định phần mềm độc hại MacOS mới có thể thực thi mã từ xa trong bộ nhớ mà họ tin là công việc của nhóm AParus mạnh mẽ của Triều Tiên Lazarus , họ cho biết hôm thứ Năm.
Nhà nghiên cứu bảo mật Dinesh Devadoss trên Twitter đã đăng tải một hàm băm cho một trojan MacOS mà anh phát hiện ra, ẩn đằng sau một nền tảng giao dịch tiền điện tử giả có tên Union Crypto Trader và có thể trốn tránh hầu hết các phần mềm chống vi-rút.
Sau khi Devadoss đăng bài về khám phá của mình, nhà nghiên cứu bảo mật và hacker MacOS Patrick Wardle đã tìm hiểu sâu hơn về phần mềm độc hại, lưu ý rằng phương thức phân phối của trojan, thông qua gói cài đặt tiền điện tử, UnionCryptoTrader.pkg, dường như là một dấu hiệu rõ ràng về sự tham gia của Lazarus .
Nhóm Laz Lazarus có thiên hướng nhắm mục tiêu người dùng hoặc quản trị viên của các sàn giao dịch tiền điện tử, ông đã viết trong một bài đăng trên blog . Cấm và phương pháp thực tế của họ để lây nhiễm các mục tiêu như vậy là thông qua công ty tiền điện tử giả và các ứng dụng giao dịch.
Trên thực tế, các cuộc tấn công mới được phát hiện sau mô hình này, với trình cài đặt được lưu trữ trên một trang web gọi là “unioncrypto.vip” rằng quảng cáo là “thông minh cryptocurrency arbitrage sàn giao dịch” nhưng không cung cấp liên kết tải về, theo một báo cáo về các phần mềm độc hại.
Tiền điện tử chỉ là một lĩnh vực hoạt động chính của Lazarus, một nhóm được tài trợ bởi chính phủ Bắc Triều Tiên đã được nhìn thấy vào đầu năm nay, thực hiện một chiến dịch tội phạm mạng rộng lớn chống lại doanh nghiệp tiền điện tử.
Nhóm APT hoạt động và nguy hiểm cũng được cho là đứng sau vụ tấn công WannaCry gây thiệt hại kinh tế hàng triệu đô la trong năm 2017, cũng như thực hiện một cuộc tấn công cao cấp chống lại Sony Pictures Entertainment vào năm 2014. Nó thậm chí còn xuất hiện để tạo ra một spinoff nhóm , toàn bộ nhiệm vụ là đánh cắp tiền từ các ngân hàng để tài trợ cho các hoạt động tội phạm mạng của Lazarus.
Wardle cho biết trojan MacOS mới được xác định cũng cho thấy Lazarus đã mài giũa kỹ năng của mình, lưu ý rằng mẫu này (mới) chứa một khả năng khá tinh vi, điều mà tôi chưa từng thấy trước đây trong phần mềm độc hại macOS (công khai).
Wardle phá vỡ phần mềm độc hại từng bước để cho thấy cách nó có thể tải xuống từ xa và thực hiện tải trọng trực tiếp từ bộ nhớ trên MacOS. Sau khi được kích hoạt, trình cài đặt sẽ thực thi một kịch bản cài đặt sau khi kết thúc quá trình cài đặt, mục đích của nó là liên tục cài đặt một trình nền khởi chạy, ông nói.
Cụ thể, tập lệnh sẽ: di chuyển một danh sách ẩn (.vip.unioncrypto.plist) từ thư mục Tài nguyên của ứng dụng vào / Library / LaunchDaemons; đặt nó để được sở hữu bởi root; tạo thư mục / Library / UnionCrypto; di chuyển một nhị phân ẩn (.unioncryptoupdater) từ thư mục Tài nguyên của ứng dụng vào / Library / UnionCrypto /; đặt nó để được thực thi; [và] thực thi nhị phân này (/ Library / UnionCrypto / unioncryptoupdater), anh ấy đã viết trong bài đăng của mình.
Phần mềm độc hại sau đó yêu cầu người dùng nhập thông tin đăng nhập của mình để hoàn tất cài đặt, sau khi hoàn tất, sẽ để lại công cụ nhị phân unioncryptoupdater thực thi và cài đặt liên tục, Wardle nói. Điều này cho phép phần mềm độc hại thực hiện khả năng cốt lõi của nó trên một máy bị nhiễm: Thực hiện trong bộ nhớ trong bộ nhớ được tải xuống từ xa, anh ấy đã viết, gọi khả năng đó là gợi cảm.
Một thông tin tốt về việc phát hiện ra phần mềm độc hại mới nhất của Lazarus là người dùng Mac trung bình không phải lo lắng về việc bị nó nhắm mục tiêu, Wardle nói. Hơn nữa, vì gói trình cài đặt không được ký, macOS sẽ cảnh báo bất kỳ người dùng nào nếu họ cố mở nó, ông nói.
Like!! Really appreciate you sharing this blog post.Really thank you! Keep writing.