Foi descoberta que uma plataforma de negociação de criptomoedas é usada por malware para macOS para contaminar o sistema. Confira os detalhes dessa ameaça.
Pesquisadores de segurança encontraram uma nova amostra de malware do macOS que se acredita ser o trabalho do grupo norte-coreano de hackers conhecido como Lazarus.
Plataforma de negociação de criptomoedas é usada por malware para macOS
A ameaça tem uma taxa de detecção muito baixa e vem com recursos que permitem recuperar uma carga útil de um local remoto e executá-la na memória, dificultando a análise forense.
O pesquisador de malware Dinesh Devadoss na terça-feira forneceu um hash para uma nova amostra de malware do macOS que poderia carregar um arquivo executável mach-O da memória e executá-lo.
A verificação da amostra no VirusTotal mostra que sua detecção é quase inexistente. No momento em que este artigo foi escrito, apenas quatro mecanismos antivírus o classificaram como malicioso, aumentando para cinco no momento da publicação.
O pesquisador de segurança e hacker do macOS Patrick Wardle analisou o malware encontrado pela Devadoss e determinou que “existem claras sobreposições” com outro implante de primeiro estágio atribuído ao Lazarus Group e encontrado pelo MalwareHunterTeam há menos de dois meses.
Esse novo exemplo é empacotado com o nome UnionCryptoTrader e foi hospedado em um site chamado “unioncrypto.vip”, que anuncia uma “plataforma inteligente de negociação de arbitragem de criptomoedas”, mas não fornece links para download.
O pacote não está assinado, o que significa que sua abertura acionará um aviso do sistema operacional (SO).
Em uma análise detalhada publicada recentemente, o pesquisador observa que o malware possui um script ‘postinstall’ que instala o daemon de inicialização ‘vip.unioncrypto.plist’ para persistência. O script possui os seguintes atributos:
- Move uma lista oculta (.vip.unioncrypto.plist) do diretório de Recursos do aplicativo para /Library/LaunchDaemons
- Configura ele para pertencer à raiz
- Crie um diretório /Library/UnionCrypto
- Vove um binário oculto (.unioncryptoupdater) do diretório de recursos do aplicativo para /Library/UnionCrypto/
- Execute este binário (/Library/UnionCrypto/unioncryptoupdater)
O binário ‘unioncryptoupdater’ oculto é definido para ser executado em cada reinicialização do sistema, configurando sua chave RunAtLoad como true. De acordo com a análise de Wardle, ele pode coletar informações básicas sobre o sistema, como o número de série e a versão do SO.
Ele entra em contato com um servidor de comando e controle (C2), que pode fornecer uma carga útil para executar. Isso indica que ‘unioncryptoupdater’ foi projetado para o estágio inicial de um ataque.
Wardle concluiu que:
“No momento, enquanto o servidor de comando e controle remoto permanece online, ele está simplesmente respondendo com um “0”, o que significa que nenhuma carga útil é fornecida”
- Como instalar o Emulador Nintendo 64 m64p no Linux via Flatpak
- Como instalar o cubo mágico rubecube no Linux via Snap
- Como instalar o jogo Trax Puzzle no Linux via Snap
- Como instalar o clássico jogo Tanks no Ubuntu, Debian e derivados
A falta de um certificado válido e a carga útil ausente podem sugerir que o malware foi descoberto antes que o invasor pudesse preparar todos os detalhes da operação.
O pesquisador também explica como o malware atinge a execução na memória de uma carga útil, um método que ele apresentou há quatro anos na conferência de segurança BlackHat.
Embora a execução de um arquivo na memória seja um recurso comum no malware para Windows, o truque é raro no macOS e está apenas começando a ganhar popularidade.
Uma das poucas famílias de malware capazes disso é o Gmera, um cavalo de Troia que pesquisadores da Trend Micro descobriram em setembro também se apresentando como um aplicativo de comércio on-line.
A análise do Sentinel One revelou que, apesar de ter uma taxa de detecção muito baixa na época, Gmera também era capaz de decodificar e executar uma carga útil na memória, um script ofuscado nesse caso.
Wardle acredita que esse malware foi criado pelo grupo Lazarus e as evidências anteriores apoiam essa teoria.
Em outubro, o MalwareHunterTeam descobriu que um invasor havia criado uma empresa falsa que oferecia uma plataforma gratuita chamada JMT Trader para negociar criptomoedas. Qualquer pessoa que o instalasse no macOS ou no Windows obteria um backdoor no sistema.
Tudo isso tem uma semelhança impressionante com um ataque chamado Operation AppleJeus, descoberto e atribuído por Kaspersky ao grupo Lazarus APT associado à Coréia do Norte.
Um aplicativo de negociação de criptomoeda trojanizado foi usado nesse ataque, assinado com um certificado válido emitido para uma empresa que não existia no endereço listado nas informações do certificado.
O que está sendo falado no blog
No Post found.
