Nuevo malware de MacOS que usa la técnica ‘sin archivos’ para permanecer sigiloso – Ecoticias

Se dice que Lazarus Group, respaldado por Corea del Norte, está atacando a los usuarios de macOS de una manera diferente esta vez, sin pasar por los escáneres antivirus. El método del grupo para llegar directamente a la raíz del sistema, sin dejar rastros en los discos duros, es una forma eficaz de permanecer irreconocible.

¿Como Lázaro?

Esta técnica de descargar y ejecutar malware directamente en la raíz (memoria) es un arte creado solo por atacantes patrocinados por el estado. El Grupo Lazarus ya era conocido por este nicho. Entonces, con este modus operandi, parecía ser un Grupo Lázaro. Lazarus también se conoce como AppleJeus, un malware ejecutado de manera similar. El investigador de MacOS Patrick Wardle asume que estas huellas son de Lazarus de Corea del Norte.

El proceso

A continuación se muestra el proceso paso a paso que realiza este malware;

  • mover una lista oculta (.vip.unioncrypto.plist) del directorio de recursos de la aplicación a / Library / LaunchDaemons
  • establecerlo como propiedad raíz
  • crear un directorio / Library / UnionCrypto
  • mover un binario oculto (.unioncryptoupdater) del directorio de recursos de la aplicación a / Library / UnionCrypto /
  • configurarlo para que sea ejecutable
  • ejecutar este binario (/ Library / UnionCrypto / unioncryptoupdater)

Al explicar esto, primero se presenta a sí mismo como una aplicación de comercio de criptomonedas como un sindicado cifrado, donde se sometió a «Persistente“. ¡Esto significa que el malware puede soportar incluso reinicios!

Hay varias funciones que invocan directorios para obtener información básica del sistema, como el número de serie, la versión del sistema operativo, etc. El sistema infectado intenta contactar con el servidor llamado hxxps: // unioncrypto (.) Vip / para obtener la segunda carga. Si está disponible, recibirá un «Imagen de archivo de objeto“. Que se ejecutan en la memoria sin tocar el disco duro de la Mac infectada.

Nuevo malware de MacOS que utiliza la técnica 'sin archivos' para permanecer sigiloso
Técnica MacOS ‘sin archivo’

Este método es tan eficaz para ejecutar malware como para análisis antivirus de casi todo el software. Todo lo que hace el antivirus es escanear los discos para encontrar y eliminar virus (o cualquier otro sospechoso) para eliminarlos. Aquí, el desalojo y la ejecución se realizaron directamente desde la propia memoria y no hay participación de discos o unidades.

Lo bueno aquí es que el paquete UnionCryptoTrader.pkg no está firmado. Esto permite que el instalador del paquete macOS notifique y confirme a los usuarios antes de instalar en el sistema. Es mejor evitarlo cuando está marcado. El malware es tan capaz que solo un tercio del software antivirus en VirusTotal lo detecta como malicioso, ocultándose con éxito del resto. De lo contrario, puede verificar manualmente ejecutando un indicador de compromiso como se muestra a continuación en su sistema:

  • Inicie la lista de propiedades de Daemon: /Library/LaunchDaemons/vip.unioncrypto.plist
  • Proceso en ejecución / binario: / Library / UnionCrypto / unioncryptoupdater

El equipo incluso compartió una herramienta de detección de malware específicamente para macOS; TOC Toc para comprobar si está infectado.