一个针对加密货币交易者的网站发现了来自Lazarus的朝鲜黑客的恶意软件
一个针对加密货币交易者的网站发现了来自Lazarus的朝鲜黑客的恶意软件
安全研究员Dinesh Devadoss在unioncrypto.vip上发现了一个macOS恶意软件,该恶意软件宣传了“智能加密货币套利平台”。
#Lazarus #macOS#木马
md5:6588d262529dc372c400bef8478c2eec
hxxps://unioncrypto.vip/包含代码:从内存中加载Mach-O并执行/将其写入文件并执行@ patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi
-Dinesh_Devadoss(@ dineshdina04)2019年12月3日
UnionCryptoTrader恶意软件包含安装vip.unioncrypto.plist守护程序的安装后脚本。该软件包不包含数字签名,因此当您打开它时,操作系统将发出警告。
然后,该恶意软件与远程命令服务器进行通信,该服务器向其提供有效载荷以在计算机的内存中执行。 UnionCryptoTrader收集有关系统的基本信息:序列号和操作系统版本。
unioncryptoupdater隐藏的二进制文件配置为在每次系统重新引导时启动。
该威胁的检测率较低,因此难以进行法医分析。根据VirusTotal服务,目前只有五个防病毒引擎将该程序标记为恶意程序。
UnionCryptoTrader与去年的AppleJeus攻击的相似之处促使研究人员认为朝鲜黑客组织Lazarus是其背后的幕后功臣。
然后,在一种亚洲加密货币交易所的IT系统中检测到恶意软件。在Fallchill Trojan的帮助下,它感染了各种操作系统,并旨在窃取加密货币。
在Telegram上订阅ForkLog新闻:ForkLog Feed-整个新闻Feed,ForkLog-最重要的新闻和民意调查。