Lazarus Group推出了新的MacOS木马程序，将注意力转向了Apple用户

• Lazarus小组的一种新的两阶段恶意软件正在进行加密硬币交易。
• 该恶意软件是为诱骗macOS用户而开发的，目前可以绕过大多数AV工具的检测。
• C＆C当前处于联机状态，但目前尚不提供第二个主要负载。

研究人员兼威胁分析师Dinesh_Devadoss发现了一种新的Lazarus恶意软件，该恶意软件是针对macOS系统而创建的。该新木马与Lazarus小组建立联系的原因是，它试图欺骗用户，使其相信它是合法的加密货币应用程序（UnionCryptoTrader.dmg），并且我们之前从朝鲜人那里已经看到了这种策略。受害者正在安装和运行恶意软件，然后该恶意软件将下载辅助有效负载，该辅助负载是间谍和数据泄露工具。硬盘驱动器上没有任何安装，因此整个操作都在计算机内存中运行。

#Lazarus #macOS＃木马
md5：6588d262529dc372c400bef8478c2eec
hxxps：//unioncrypto.vip/

包含代码：从内存中加载Mach-O并执行/写入文件并执行@patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi

-Dinesh_Devadoss（@ dineshdina04）2019年12月3日

为了进一步了解技术细节，该恶意软件将第二个有效负载下载到受害者的计算机上并对其进行解密。然后，通过使用某些macOS API调用，创建目标文件映像。这有助于为文件在内存中运行奠定基础，从而模拟硬盘驱动器上的实际安装。目前，只有少数引擎可以检测到该恶意软件，而大多数引擎都无法标记该木马。不过，有效负载二进制文件是未签名的，因此，macOS将在尝试运行软件包时向用户提供警告。

资料来源：objective-see.com

恶意文件主题化表明Lazarus组这次正在进行加密交易所。名称“ Union 加密货币Trader”和为分发而建立的网站与该假设一致。根据Patrick Wardle的深入分析，该网站仍处于在线状态，并且查询IP地址（104.168.167.16）表示该木马至少已被下载一次。

资料来源：objective-see.com

为了建立持久性，恶意软​​件在启动守护进程中植入了“ vip.unioncrypto.plist”，因此在每次系统启动时都会启动二进制文件。该文件和新创建的目录设置为由root拥有。第一个有效载荷是“标识符”，它可以将基本系统信息发送回参与者，并从C2检索新的有效载荷样本。第二阶段植入程序是主要数据泄露者，也是该操作的完整恶意软件。不幸的是，分析人员无法从C＆C获取样本，因为服务器当前正在使用零字符串进行答复。也就是说，Lazarus的目的目前尚不清楚，但是该工具的开发为我们指明了黑客组织的重点。