一个针对加密货币交易者的网站发现了来自Lazarus的朝鲜黑客的恶意软件

一个针对加密货币交易者的网站发现了来自Lazarus的朝鲜黑客的恶意软件

安全研究员Dinesh Devadoss在unioncrypto.vip上发现了一个macOS恶意软件，该恶意软件宣传了“智能加密货币套利平台”。

#Lazarus #macOS＃木马
md5：6588d262529dc372c400bef8478c2eec
hxxps：//unioncrypto.vip/

包含代码：从内存中加载Mach-O并执行/将其写入文件并执行@ patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi

-Dinesh_Devadoss（@ dineshdina04）2019年12月3日

UnionCryptoTrader恶意软件包含安装vip.unioncrypto.plist守护程序的安装后脚本。该软件包不包含数字签名，因此当您打开它时，操作系统将发出警告。

然后，该恶意软件与远程命令服务器进行通信，该服务器向其提供有效载荷以在计算机的内存中执行。 UnionCryptoTrader收集有关系统的基本信息：序列号和操作系统版本。

unioncryptoupdater隐藏的二进制文件配置为在每次系统重新引导时启动。

该威胁的检测率较低，因此难以进行法医分析。根据VirusTotal服务，目前只有五个防病毒引擎将该程序标记为恶意程序。

UnionCryptoTrader与去年的AppleJeus攻击的相似之处促使研究人员认为朝鲜黑客组织Lazarus是其背后的幕后功臣。

然后，在一种亚洲加密货币交易所的IT系统中检测到恶意软件。在Fallchill Trojan的帮助下，它感染了各种操作系统，并旨在窃取加密货币。

在Telegram上订阅ForkLog新闻：ForkLog Feed-整个新闻Feed，ForkLog-最重要的新闻和民意调查。