一個針對加密貨幣交易者的網站發現了來自Lazarus的朝鮮黑客的惡意軟體

一個針對加密貨幣交易者的網站發現了來自Lazarus的朝鮮黑客的惡意軟體

安全研究員Dinesh Devadoss在unioncrypto.vip上發現了一個macOS惡意軟體，該惡意軟體宣傳了「智能加密貨幣套利平台」。

#Lazarus #macOS＃木馬
md5：6588d262529dc372c400bef8478c2eec
hxxps：//unioncrypto.vip/

包含代碼：從內存中載入Mach-O並執行/將其寫入文件並執行@ patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi

-Dinesh_Devadoss（@ dineshdina04）2019年12月3日

UnionCryptoTrader惡意軟體包含安裝vip.unioncrypto.plist守護程序的安裝後腳本。該軟體包不包含數字簽名，因此當您打開它時，操作系統將發出警告。

然後，該惡意軟體與遠程命令伺服器進行通信，該伺服器向其提供有效載荷以在計算機的內存中執行。 UnionCryptoTrader收集有關係統的基本信息：序列號和操作系統版本。

unioncryptoupdater隱藏的二進位文件配置為在每次系統重新引導時啟動。

該威脅的檢測率較低，因此難以進行法醫分析。根據VirusTotal服務，目前只有五個防病毒引擎將該程序標記為惡意程序。

UnionCryptoTrader與去年的AppleJeus攻擊的相似之處促使研究人員認為朝鮮黑客組織Lazarus是其背後的幕後功臣。

然後，在一種亞洲加密貨幣交易所的IT系統中檢測到惡意軟體。在Fallchill Trojan的幫助下，它感染了各種操作系統，並旨在竊取加密貨幣。

在Telegram上訂閱ForkLog新聞：ForkLog Feed-整個新聞Feed，ForkLog-最重要的新聞和民意調查。