Threats
Acredita-se que hackers a trabalhar de perto com o governo norte-coreano estarão por trás de um trojan para Mac recentemente descoberto que utiliza execução in-memory para se manter escondido
11/12/2019
|
As infeções in-memory foram, em tempos, utilizados por atacantes patrocinados por Estados. Em 2017, hackers mais avançados e motivados financeiramente adotaram a técnica e, desde então, tem-se tornado cada vez mais comum. Recentemente foi descoberto um malware que utiliza execução in-memory para atacar dispositivos Mac. O malware não é totalmente fileless. Explica a ARS Technica que o primeiro estágio do ataque se apresenta como aplicação para criptomoedas. Quando apareceu pela primeira vez no início da primeira semana de dezembro, apenas dois dos 57 produtos antivírus detetaram o ficheiro como suspeito. Na sexta-feira da mesma semana, de acordo com o VirusTotal, a deteção melhorou modestamente, com 17 dos 57 produtos a sinalizar o ficheiro. Depois de executado, o arquivo utiliza um binário de pós-instalação que, segundo uma análise detalhada de Patrick Wardle, especialista em segurança de Mac do fornecedor de software para Mac empresarial Jamf, resulta num binário malicioso chamado unioncryptoupdated que é executado como root e tem "persistência", o que significa que sobrevive à reinicialização para garantir a execução constante. Wardle explica que a instalação de um daemon de lançamento cujo plist e binário são armazenados ocultos no diretório de recursos de uma aplicação é uma técnica que corresponde ao Lazarus, o nome que muitos investigadores e agentes de inteligência usam para um grupo de hackers norte-coreano. Outra parte do malware para Mac, apelidada AppleJeus, fez a mesma coisa. Embora as infeções fileless sejam uma indicação de que a Lazarus está a desenvolver cada vez mais malware furtivo, o AppleJeus.c, como Wardle apelidou o malware recentemente descoberto, ainda é fácil para os utilizadores detetarem. Como não foi assinado por um developer confiável da Apple, o macOS exibe um aviso. Como é típico quando as aplicações são instaladas, o macOS exige que os utiliadores insiram a sua senha do Mac. Isto não é automaticamente uma dica de que algo suspeito está a acontecer, mas impede que o primeiro estágio seja instalado através de drive-bys ou outros métodos clandestinos. |
Receba todas as novidades na sua caixa de correio!
NEWS
CNCS lança referencial de comunicação de risco e crise
THREATS
CNCS lança alerta para campanhas de CEO fraud
THREATS
Maioria dos dispositivos infetados com malware são empresariais
NEWS
CISA lança sistema de análise de malware de última geração para uso público
ITS CONF
Conheça os Parceiros da IT Security Conference 2024
THREATS
Ivanti lança patches para 27 vulnerabilidades nas soluções Avalanche MDM
THREATS
Investigadores interrompem tentativa de aquisição credível em projetos de software open-source
THREATS
Cibercriminosos patrocinados pelo Estado exploram zero-day em firewalls
THREATS
RA World é o ataque de ransomware mais emergente
THREATS
Juniper Networks lança novas correções para vulnerabilidades
