在加密货币平台上检测到朝鲜拉撒路集团的macOS恶意软件

最近，一种新的macOS恶意软件浮出水面，威胁检测率很低，数字安全研究人员认为这是由拉萨鲁斯集团（Lazarus Group）创建的，拉萨鲁斯集团是一家总部位于朝鲜的网络犯罪组织，具有悠久的加密货币黑客历史。

该恶意软件在一个名为“ unioncrypto.vip”的加密货币交易平台网站上进行了伪装，并在造成重大损害之前被研究人员发现。

该恶意软件能够从隔离的存储空间中重新获得有效负载，并在内存上运行它。这种方法使数字安全分析师难以进行法证研究。

恶意软件分析公司VirusTotal显示，对恶意软件的检测几乎是不可能的。当前，只有五个防病毒软件能够将其标识为有害软件。恶意软件研究专家Dinesh Devadoss为该恶意软件提供了一个哈希，该哈希能够从计算机内存中加载mach-O文件并执行该文件。

macOS的数字安全专家和白帽黑客Patrick Wardle研究了Devadoss发现的恶意软件，并得出结论认为Lazarus Group的工作存在重叠之处。

有缺陷的样本被密封在标题“ UnionCryptoTrader”下，并显示在“ unioncrypto.vip”网站上，该网站是加密货币交易平台的促销页面。由于未签名样本，打开盘点会从用户计算机的操作系统发出警告。

恶意软件分析

研究人员在分析该恶意软件时发现，该恶意软件具有一个名为“ postinstall”的脚本，该脚本能够安装“ vip.unioncrypto.plist”启动守护程序。他们还共享了脚本的特征，例如将隐藏的plist从下载的应用程序的资源移至Launch Daemons库。

该脚本还能够在Library / UnionCrypto中创建目录，并将应用程序的隐藏二进制资源移动到该目录。最后，该脚本可以执行二进制文件，研究人员将其明确概述为（/ Library / Union加密货币/ unioncryptoupdater），该文件将在每次重新启动系统时运行。

Wardle对恶意软件的分析表明，它具有收集有关受害者系统信息的功能，例如序列号和操作系统版本。但是，缺少有效证书以及缺少有效负载这一事实可能意味着，数字安全专家可以在攻击者准备恶意软件操作的全面工作之前检测到病毒。

尽管在内存中执行文件已成为恶意软件侵扰和攻击Window操作系统的冗余功能，但这是它在macOS上浮出水面的几次。研究人员担心这会在该平台上获得普及。

你对这篇文章有什么看法？

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。