Новости Группировка Lazarus обзавелась собственным бесфайловым вредоносом

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
ATP-группа Lazarus, часто связываемая экспертами с правительством КНДР, вооружилась новой техникой взлома компьютеров под управлением macOS.

Аналитик ИБ-компании K7 Computing Динеш Девадосс (Dinesh Devadoss) обнаружил первое в арсенале Lazarus вредоносное ПО, выполняющееся в памяти Mac. Подобные бесфайловые программы работают исключительно в оперативной памяти компьютера, что позволяет им успешно обходить антивирусные решения, ищущие вредоносные файлы на жестких дисках.

Обнаруженный Девадоссом образец вредоносного ПО на этой неделе был изучен «гуру» безопасности Патриком Уордлом (Patrick Wardle). По его словам, вредонос является новым витком в развитии тактик, используемых Lazarus для незаметного заражения компьютеров.

Как и в других вредоносных операциях Lazarus (в частности, в операции AppleJeus ), новая атака начинается с установки жертвой вредоносного ПО, замаскированного под легитимное приложение для трейдинга криптовалют. Однако после запуска троян демонстрирует новый трюк: вторичная полезная нагрузка (именно ее функционал является вредоносным) выполняется непосредственно в памяти без установки каких-либо файлов на жесткий диск.

Как пояснил Уордл, для этого вредонос сначала загружает и расшифровывает полезную нагрузку, а затем с помощью вызовов API в macOS создает так называемый образ файлового объекта. Это позволяет вредоносу запускаться в памяти, как если бы он был установлен локально.

С какой целью Lazarus обзавелась новой «игрушкой», пока неясно. По словам Уордла, в настоящее время удаленный C&C-сервер остается online и отправляет в ответ '0', что свидетельствует об отсутствии какой-либо полезной нагрузки.
 
Сверху Снизу