Novo malware para macOS de hackers da Coreia do Norte se esconde por trás da empresa falsa de criptomoedas

Os infames hackers norte-coreanos conhecidos como Lazarus APT Group criaram outro malware direcionado a usuários de Macs da Apple que se passam por uma falsa empresa de criptomoedas.

Patrick Wardle, especialista em segurança do Mac da Apple e importante pesquisador de segurança da Jamf, publicou um post de blog em 12 de outubro, descrevendo a natureza do malware, revelado pelos pesquisadores do MalwareHunterTeam (MHT) no dia anterior.

Intimamente relacionado ao malware cripto anterior do macOS

MHT e Wardle alertaram que, no momento do aviso, o malware não era detectado por nenhum mecanismo do VirusTotal e que a amostra parece estar intimamente relacionada a uma variedade de malware para Mac criado pelo Lazarus Group e identificado pelo Kaspersky Labs no verão de 2018.

Como na tensão anterior, os hackers criaram uma empresa de criptomoeda falsa - desta vez chamada de "JMT Trading" - através da qual perpetram seu ataque. Depois de bolarem um aplicativo de trading de criptomoedas de código aberto, eles fizeram o upload do código no GitHub, ocultando o malware dentro dele.

Wardle analisou o processo de instalação do aplicativo, identificando o pacote suspeito e o daemon de inicialização oculto nele e analisando a funcionalidade maliciosa do script de backdoor dos hackers.

Embora o backdoor ofereça a um atacante remoto comando e controle completos sobre os sistemas macOS infectados, Wardle observa que as ferramentas de segurança de código aberto e os processos de detecção manual por usuários alertados não devem ter problema em detectar o malware.

Porém, ele reiterou seu aviso de que os mecanismos do VirusTotal não estavam sendo utilizados no momento da redação.

Ele também considera que os alvos mais prováveis ​​do malware são funcionários de exchanges de criptomoedas e não investidores de varejo comuns.

Vilões cibernérticos

Conforme relatado, o Lazarus, supostamente patrocinado pelo Estado norte-coreano, obteve fama por suas atividades malignas. Estima-se que, no outono de 2018, o grupo roubou US$ 571 milhões em criptomoedas desde o início de 2017 e foi acusado de envolvimento no hack de US$ 532 milhões em NEM da exchange japonesa Coincheck.

Em setembro, Anne Neuberger - diretora da Diretoria de Segurança Cibernética da Agência de Segurança Nacional dos Estados Unidos (NSA) - destacou a Coreia do Norte como particularmente criativa em sua estratégia de guerra cibernética, apontando para o suposto uso de criptomoeda do Estado desonesto para arrecadar fundos para o presidente do regime Kim Jong-Un.