Photo by a1ucard on shorturl.at/EKPS4 (CC BY-ND 2.0)

安全研究人員發現,針對Mac平台的無檔案(fileless)攻擊程式在記憶體內執行,只有少數防毒產品偵測到。

安全研究人員Dinesh_Devadoss上周首先發現一隻名為UnionCrypto的Mac木馬程式樣本,研判來自北韓駭客組織Lazarus Group。一開始VirusTotal上的57個防毒引擎中,只有2個將之判斷為可疑程式。

Lazarus Group過去經常冒充加密貨幣交易app,誘騙加密貨幣用戶或是駭入交易平台管理員以感染其app。研究人員Patrick Wardle指出,Lazarus Group經常對macOS下手,但這次攻擊展現的高明手法,卻是前所未見。

最新的攻擊是利用交易平台unioncrypto.vip經由UnionCrypoTrader.dmg(.dmg是macOS的映像檔格式)散佈。據此研究人員相信Lazarus Group又成功故技重施,在加密交易app注入木馬程式。

利用指令開啟及安裝,這個映像檔內的Unioncrypto.pkg程式會安裝、啟動一個script,再建立開機服務(Launch Daemon),這個開機服務目的在重覆安裝二進位執行檔unioncryptoupdater,能在Mac電腦每次開機時都執行。當unioncryptoupdater在Mac電腦會開始蒐集OS版本及基本系統資訊,並聯絡外部伺服器以進入第二階段的下載。

研究人員說,長期潛伏以及兩階段下載都是Lazarus Group的慣用手法。但Unioncrypto很特別的是,可直接在記憶體寫入與執行惡意程式碼。這種記憶內(in-memory)程式碼執行的能力,比Lazarus Group過去撰寫的Mac惡意程式,包括剛發現的AppleJeus更為進階。

好消息是,由於Unioncrypto.pkg沒有簽章,會在執行時觸控macOS發出警告。另一方面,Lazarus Group的目標也非一般Mac用戶,因此尚不必擔心這次的UnionCrypto,但研究人員表示,最新木馬顯示北韓駭客也逐漸學習新技巧,透過無檔案攻擊手法增加匿蹤的能力。


Advertisement

更多 iThome相關內容