На сайте для криптовалютных трейдеров найден вредонос от северокорейских хакеров из Lazarus

Исследователь безопасности Динеш Девадосс обнаружил вредоносную программу для macOS на сайте unioncrypto.vip, который рекламирует «интеллектуальную платформу для арбитража криптовалют».

Вредоносное ПО UnionCryptoTrader содержит скрипт postinstall, который устанавливает демон vip.unioncrypto.plist. Пакет не содержит цифровой подписи, поэтому при его открытии операционная система выдаст предупреждение.

Затем вредонос связывается с удаленным командным сервером, который предоставляет ему полезную нагрузку для выполнения в памяти компьютера. UnionCryptoTrader собирает основную информацию о системе: серийный номер и версию ОС.

Скрытый двоичный файл unioncryptoupdater настроен на запуск при каждой перезагрузке системы.

Угроза имеет низкий уровень обнаружения, что затрудняет проведение криминалистического анализа. Согласно сервису VirusTotal, на данный момент только пять антивирусных движков пометили эту программу как вредоносную.

Сходство UnionCryptoTrader с прошлогодней атакой AppleJeus натолкнуло исследователей на мысль, что за ее созданием стоит северокорейская хакерская группировка Lazarus.

Тогда вредоносное ПО было выявлено в IT-системах одной азиатской криптовалютной биржи. При помощи трояна Fallchill оно поражало различные операционные системы и было предназначено для кражи криптовалюты.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version