新的Mac恶意软件作为加密应用程序隐藏在内存和伪装中

 
所谓的“无文件”恶意软件通过隐藏在内存中并且从不接触文件或驱动器来感染Mac OS计算机。该恶意软件伪装成一种名为UnionCryptoTrader.dmg的加密交易软件，被怀疑是朝鲜黑客组织Lazurus APT的工作。
该恶意软件通过在启动过程中注入可执行文件来感染Mac OS计算机，从而使其对用户隐藏并使其难以删除。可执行文件然后查找各种在线有效负载并在内存中运行它们，以确保防病毒软件在重启和其他操作系统事件后可能会丢失恶意软件。最终，由于有效负载会随着时间的推移而变化，并且恶意软件对受感染的计算机具有root特权，因此几乎找不到反病毒应用程序。
该恶意软件基于朝鲜黑客组织Lazarus APT Group的AppleJeus，并且来自伪装成加密交易应用程序的无文件Windows和Mac OS木马。
攻击者创建了一个听起来合法的加密货币交易网站，名为JMTTrading，该网站提供了“智能加密货币套利交易平台”。该网站目前处于启用状态，但似乎不再提供其恶意软件有效负载。
“现在可以合理地假设Lazarus Group坚持其成功的攻击手段(针对具有木马交易应用程序的加密货币交易所的员工)……现在!” Patrick Wardle在安全站点Objective-See上写道。
根据安全研究服务机构VirusTotal的统计，在72个Mac OS防病毒应用程序中，只有19个可以检测到该恶意软件。
美国财政部此前曾批准朝鲜黑客组织试图通过恶意软件窃取加密货币以支付军事装备费用。
“财政部正在对一直在进行网络攻击以支持非法武器和导弹计划的朝鲜黑客组织采取行动，”恐怖主义和金融情报局局长库克9月表示。 “我们将继续执行美国和联合国对朝鲜的现有制裁，并与国际社会合作，以改善金融网络的网络安全。”
正如记者Dan Goodin所指出的那样，该恶意软件在感染计算机之前会提出多个密码请求，从而确保仅最需要假冒伪造软件的用户才能被感染，这对于单击并安装新Trojan的用户来说显然是不寒而栗的。