一個針對加密貨幣交易者的網站發現了來自Lazarus的朝鮮黑客的惡意軟體
一個針對加密貨幣交易者的網站發現了來自Lazarus的朝鮮黑客的惡意軟體
安全研究員Dinesh Devadoss在unioncrypto.vip上發現了一個macOS惡意軟體,該惡意軟體宣傳了「智能加密貨幣套利平台」。
#Lazarus #macOS#木馬
md5:6588d262529dc372c400bef8478c2eec
hxxps://unioncrypto.vip/包含代碼:從內存中載入Mach-O並執行/將其寫入文件並執行@ patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi
-Dinesh_Devadoss(@ dineshdina04)2019年12月3日
UnionCryptoTrader惡意軟體包含安裝vip.unioncrypto.plist守護程序的安裝後腳本。該軟體包不包含數字簽名,因此當您打開它時,操作系統將發出警告。
然後,該惡意軟體與遠程命令伺服器進行通信,該伺服器向其提供有效載荷以在計算機的內存中執行。 UnionCryptoTrader收集有關係統的基本信息:序列號和操作系統版本。
unioncryptoupdater隱藏的二進位文件配置為在每次系統重新引導時啟動。
該威脅的檢測率較低,因此難以進行法醫分析。根據VirusTotal服務,目前只有五個防病毒引擎將該程序標記為惡意程序。
UnionCryptoTrader與去年的AppleJeus攻擊的相似之處促使研究人員認為朝鮮黑客組織Lazarus是其背後的幕後功臣。
然後,在一種亞洲加密貨幣交易所的IT系統中檢測到惡意軟體。在Fallchill Trojan的幫助下,它感染了各種操作系統,並旨在竊取加密貨幣。
在Telegram上訂閱ForkLog新聞:ForkLog Feed-整個新聞Feed,ForkLog-最重要的新聞和民意調查。