zhema
New member
ATP-группировка Lazarus, часто связываемая специалистами с властями Китая, обзавелась новым способом взлома ПК на базе macOS.
Аналитик организации по информационной безопасности K7 Computing Динеш Девадосс (Dinesh Devadoss) первое в арсенале Lazarus вредоносное программное обеспечение, исполняющееся в памяти Mac. Похожие бесфайловые программы работают только в оперативной памяти устройства, что даёт им возможность легко обманывать защитное ПО, которое ищет вирусы на жёстких дисках.
Этот найденный Девадоссом образец вируса на этой неделе был «гуру» безопасности Патриком Уордлом (Patrick Wardle). Он считает, что этот вирус новый виток в развитии сценариев, применяемых Lazarus для скрытого заражения устройств.
Также, как и в остальных вредоносных кампаниях Lazarus (в том числе операция AppleJeus ), новая кибератака начинается с установки пользователем вредоносного ПО, выдающего себя за официальное приложение для обмена криптовалют. Но после запуска троян показывает необычный трюк: вторичная полезная нагрузка (именно её работа является вредоносной) исполняется только в памяти, без установки каких-нибудь файлов на жёсткий диск.
Уордл отметил, что для этого вирус вначале скачивает и дешифрует полезную нагрузку, а потом посредством вызовов API в macOS делает так называемый образ файлового объекта. Это даёт возможность вирусу работать в памяти, как будто он был установлен локально.
Зачем Lazarus вооружилась этим вирусом, на данный момент непонятно. Уордла считает, что сейчас удалённый C&C-сервер остаётся онлайн и отсылает в ответ 0, что говорит об отсутствии какой-нибудь полезной нагрузки.
Аналитик организации по информационной безопасности K7 Computing Динеш Девадосс (Dinesh Devadoss) первое в арсенале Lazarus вредоносное программное обеспечение, исполняющееся в памяти Mac. Похожие бесфайловые программы работают только в оперативной памяти устройства, что даёт им возможность легко обманывать защитное ПО, которое ищет вирусы на жёстких дисках.
Этот найденный Девадоссом образец вируса на этой неделе был «гуру» безопасности Патриком Уордлом (Patrick Wardle). Он считает, что этот вирус новый виток в развитии сценариев, применяемых Lazarus для скрытого заражения устройств.
Также, как и в остальных вредоносных кампаниях Lazarus (в том числе операция AppleJeus ), новая кибератака начинается с установки пользователем вредоносного ПО, выдающего себя за официальное приложение для обмена криптовалют. Но после запуска троян показывает необычный трюк: вторичная полезная нагрузка (именно её работа является вредоносной) исполняется только в памяти, без установки каких-нибудь файлов на жёсткий диск.
Уордл отметил, что для этого вирус вначале скачивает и дешифрует полезную нагрузку, а потом посредством вызовов API в macOS делает так называемый образ файлового объекта. Это даёт возможность вирусу работать в памяти, как будто он был установлен локально.
Зачем Lazarus вооружилась этим вирусом, на данный момент непонятно. Уордла считает, что сейчас удалённый C&C-сервер остаётся онлайн и отсылает в ответ 0, что говорит об отсутствии какой-нибудь полезной нагрузки.