Afectado por la plataforma de comercio de criptomonedas ‘Union Crypto Trader’ – Ecoticias

No solo el sistema operativo Windows, sino que MacOS también es vulnerable. Descubrió ser víctima del infame Grupo Lázaro. Un investigador de seguridad acaba de encontrar un archivo de muestra para cargar el ejecutable Mach-O desde la memoria y ejecutarlo. Este ejemplo es similar a un paquete de Union Crypto Trader, un sitio web que se anuncia como una plataforma inteligente de negociación de arbitraje de criptomonedas.

Si cree que el macOS de Apple es más seguro que cualquier otra cosa, adivine qué: también está sujeto a malware. Se cree que el popular grupo de volcado de malware llamado Lazarus, asociado con Corea del Norte, está detrás de este ataque. Es famoso por implementar de forma remota un virus en secuencia para recopilar datos confidenciales.

El investigador de seguridad Dinesh Devodoss tuiteó cómo,

“Otro #Lazarus #macOS #trojan md5: 6588d262529dc372c400bef8478c2eec hxxps: //unioncrypto.vip/
Contiene código: carga Mach-O desde la memoria y se ejecuta / escribe en un archivo y se ejecuta «.

Calificó a los investigadores de seguridad Patrick Wardle y Thomas Reed por analizar el problema con más detalle.

Después de estudiar este malware, Patrick Wardle respondió a esto como «Hay algunas superposiciones claras» con referencia al grupo Lazarus y al volcado de la primera etapa, como lo detectó por primera vez el Malware Hinted Team en el pasado.

Modo de operación

El ejemplo sigue estos pasos en secuencia para finalmente descargar la carga útil.

  • mover un plist oculto (.vip.unioncrypto.plist) del directorio de recursos de la aplicación a / Library / LaunchDaemons
  • establecerlo como propiedad raíz
  • crear un directorio / Library / UnionCrypto
  • mover un binario oculto (.unioncryptoupdater) del directorio de recursos de la aplicación a / Library / UnionCrypto /
  • ejecutar este binario (/ Library / UnionCrypto / unioncryptoupdater)

Modo sigilo maestro

VirusTotal, un sitio en línea popular que reúne información de varios detectores antivirus, ha demostrado que esta nueva amenaza se esconde en gran medida del software antivirus. De los más de 70 detectores de antivirus, hasta ahora solo hay 10 servicios marcados con este virus. Esto muestra qué tan fuerte se esconde el malware de la detección y podría permanecer más tiempo de lo que se pensaba anteriormente (o quizás nunca) si no está marcado.

¿Alguna amenaza?

Si bien el servidor de comando y control remoto todavía está en línea, solo responde con «0». Significa que aún no se ha recibido ninguna carga útil. Si esa carga útil, como se indica, se descarga y se ejecuta, preparará las cosas para el lanzamiento de un ataque inicial. Esto puede potencialmente recopilar datos sobre archivos y otro contenido.