Um novo malware está infectando Macbooks. De acordo com a matéria da Coindesk, suspeita-se que o malware, que se disfarça como um software de negociação de criptomoedas chamado UnionCryptoTrader.dmg, seja um trabalho do grupo de hackers Lazurus APT ligado à Coreia do Norte.
O malware infecta os Macs instalando um arquivo executável no processo de inicialização, ocultando-o do usuário e dificultando a remoção, pois ele nunca toca nos arquivos ou unidades do computador. O executável procura várias cargas on-line e as executa na memória, garantindo que o software antivírus perca o malware de vista após a reinicialização e outros eventos do sistema operacional.
Por fim, existe muito pouco para um aplicativo antivírus encontrar, pois a carga útil muda com o tempo e o malware tem privilégios de execução nas máquinas infectadas.
Modus operandi
O malware é baseado no sistema AppleJeus, do Lazarus APT Group, e vem de uma linhagem de cavalos de Troia para Windows e Mac OS que se disfarçam de aplicativos de negociação de criptomoedas.
Confira nossas sugestões de Pre-Sales para investir agora
O perfil do Twitter Malware Hunter Team, especializado na caça desse tipo de programa, destacou a dificuldade de detecção do programa. Embora o malware esteja presente na máquina, todas as tentativas de detectá-lo foram inúteis.
Além disso, ele também mostra as plataformas de negociação nas quais o malware se disfarça para poder atacar. Entre elas, estão as principais exchanges do mercado: Bitstamp, Binance, Bitfinex, HitBTC, entre outras.
“Parece razoável supor que o Lazarus Group está mantendo seu vetor de ataque bem-sucedido (de direcionar funcionários de exchanges de criptomoedas com aplicativos de negociação trojanizados) por enquanto!” escreveu Patrick Wardle no site de segurança Objective-See.
De acordo com o serviço de pesquisa de segurança VirusTotal, apenas 19 dos 72 aplicativos antivírus para Mac OS podem detectar o malware.
Sanções a grupos hackers
Conforme relatou o CriptoFácil, o Departamento do Tesouro dos Estados Unidos já havia sancionado grupos de hackers norte-coreanos por tentarem roubar criptomoedas utilizando-se de malwares. O dinheiro obtido seria utilizado pelo país asiático para adquirir equipamentos militares.
“O Tesouro está tomando medidas contra grupos de hackers norte-coreanos que praticam ataques cibernéticos para apoiar programas ilícitos de armas e mísseis”, disse Sigal Mandelker, subsecretário do Tesouro para Terrorismo e Inteligência Financeira em setembro. “Continuaremos a aplicar as sanções dos EUA e das Nações Unidas contra a Coreia do Norte e trabalharemos com a comunidade internacional para melhorar a segurança cibernética das redes financeiras.”
Leia também: Infecções por malwares de mineração de criptomoedas diminuem pela primeira vez em dois anos