Un nouveau malware Mac se cache dans la mémoire et se fait passer pour une application de Crypto

Un malware dit « sans fichier » infecte les ordinateurs Mac OS en se cachant dans la mémoire, sans jamais toucher aux fichiers ni aux lecteurs. Ce malware, se faisant passer pour un logiciel de trading de Crypto appelé UnionCryptoTrader.dmg, est soupçonné d'être l'œuvre du groupe de pirates nord-coréen Lazurus APT.

Le malware infecte les ordinateurs Mac OS en injectant un fichier exécutable au démarrage, le masquant ainsi à l'utilisateur et le rendant difficile à supprimer. L'exécutable LOOKS ensuite diverses charges utiles en ligne et les exécute en mémoire, garantissant ainsi que les logiciels antivirus puissent ignorer le malware après les redémarrages et autres Événements du système d'exploitation. En fin de compte, un antivirus a très peu de possibilités de détection, car la charge utile évolue au fil du temps et le malware dispose des privilèges root sur les machines infectées.

Le malware est basé surAppleJeus par le groupe Lazarus APT , un groupe de piratage informatique nord-coréen, et provient d'une lignée de chevaux de Troie Windows et Mac OS sans fichier qui se font passer pour des Crypto applications de trading.

Les attaquants ont créé un site web de trading de Crypto apparemment légitime, appelé JMTTrading, qui proposait une plateforme d'arbitrage de Cryptomonnaie intelligente. Le site est actuellement en ligne, mais T semble plus diffuser son malware.

« Il semble raisonnable de supposer que le groupe Lazarus conserve son vecteur d'attaque réussi (ciblant les employés des plateformes d'échange de cryptomonnaies avec des applications de trading trojanisées)… pour l'instant ! », a écrit Patrick Wardle sur le site de sécurité.Objectif-Voir.

Selon la sécuritéservice de recherche VirusTotal, seules 19 des 72 applications antivirus Mac OS peuvent détecter le malware.

Le département du Trésor américain a déjà sanctionné des groupes de pirates informatiques nord-coréens pour avoir tenté de voler des cryptomonnaies via des logiciels malveillants dans le but de payer du matériel militaire.

« Le Trésor prend des mesures contre les groupes de pirates informatiques nord-coréens qui ont perpétré des cyberattaques pour soutenir des programmes d'armes et de missiles illicites », a déclaré Sigal Mandelker, sous-secrétaire au Trésor pour le terrorisme et le renseignement financier.Septembre« Nous continuerons d’appliquer les sanctions américaines et onusiennes existantes contre la Corée du Nord et de collaborer avec la communauté internationale pour améliorer la cybersécurité des réseaux financiers. »

En tant que journalisteNotes de Dan Goodin, le logiciel malveillant fera apparaître plusieurs demandes de mot de passe avant d'infecter votre ordinateur, garantissant que seuls les utilisateurs ayant le plus besoin d'un faux logiciel de Crypto seront infectés, ce qui est évidemment une maigre consolation pour ceux qui ont cliqué et installé le nouveau cheval de Troie.

Image principale via Twitter