website

I ricercatori di Objective-See, hanno analizzato una nuova campagna di veicolazione malware distribuita dal famoso gruppo APT Lazarus ed indirizzata agli utenti MacOS.

In particolare, il gruppo Lazarus ha creato un nuovo sito Web unioncrypto.vip, mediante il quale avviene il download di un file .dmg (un’ immagine disco) denominato UnionCryptoTrader.dmg che dovrebbe permettere l’installazione di un’applicazione di trading di criptovaluta.

website

Invece la predetta immagine disco contiene un singolo pacchetto UnionCryptoTrader.pkg che al tentativo di apertura mostrerà la seguente schermata:

warning

L’analisi del suddetto pacchetto svela che al termine della sua installazione verrà eseguito uno script che attiverà una backdoor persistente.

Una volta che lo script viene eseguito correttamente, il caricatore raccoglie il numero seriale del Mac e le informazioni sul sistema operativo e tenterà di connettersi con un server di comando e controllo (C&C) per condividere queste informazioni.

Se il server risponde con la stringa “0”, il malware rimarrà inattivo per 10 minuti, prima di effettuare nuovamente il check-in con il server:

server_lazarus

Altrimenti invocherà una funzione per decodificare in base64 la risposta del server, seguita da una funzione denominata processUpdate per eseguire un payload scaricato dal server.


Per verificare manualmente se si è infetti effettua i seguenti controlli:

  • Launch Daemon property list: /Library/LaunchDaemons/vip.unioncrypto.plist;
  • Running process/binary: /Library/UnionCrypto/unioncryptoupdater.

Per l’analisi più accurata, ti rimando al link utilizzato come fonte per quest’articolo.

FONTE: Objective-See.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi