2min

Tags in dit artikel

, ,

Hackers die volgens bronnen voor de Noord-Koreaanse regering zouden werken, hebben een Mac-trojan ingezet die in-memory execution gebruikt om onontdekt te blijven.

In-memory executie staat ook wel bekend als fileless infectie. Met deze tactiek wordt er nooit iets naar een de harde schijf van een computer geschreven. In plaats daarvan draait de malware rechtstreeks in het geheugen. De techniek is een effectieve manier om antivirusbescherming te omzeilen, omdat er geen enkel bestand geanalyseerd wordt of als verdacht gemarkeerd wordt.

De malware is overigens niet helemaal fileless. De eerste fase doet zich namelijk voor als een crypto-app, met de bestandsnaam UnionCryptoTrader.dmg. Toen de malware eerder deze week voor het eerst werd ontdekt, gaven slechts twee van 57 beschikbare antivirusproducten een melding dat er iets verdachts was gesignaleerd.  Volgens VirusTotal was de detectie op vrijdag lichtelijk verbeterd, met 17 van de 57 producten die een melding gaven.

Als de malware wordt uitgevoerd maakt de kwaadaardige software gebruik van een post-install binary, die tot gevolg heeft dat er uiteindelijk een kwaadaardige binary wordt gedraaid met de naam unioncryptoupdated. Die binary draait als root, en heeft persistentie, wat betekent dat de binary continu gedraaid wordt.

Lazarus

Patrick Wardle, Max security expert bij Jamf, stelt dat de techniek van de malware sterk doet denken aan Lazarus, de naam die veel onderzoekers en medewerkers van veiligheidsdiensten gebruiken voor een Noord-Koreaanse hackersgroep. Een ander type Mac-malware, AppleJeus, gebruikte precies dezelfde tactiek.

Een andere eigenschap die sterk duidt op Noord-Koreaanse betrokkenheid is de belangstelling voor cryptomunten. Het Amerikaanse ministerie van Financiën bracht in september naar buiten dat er bewijzen zijn gevonden dat Noord-Koreaanse hackers honderden miljoenen dollars aan cryptomunten hebben overgeheveld vanaf crypto-exchanges, naar verluidt in een poging om de ontwikkeling van kernwapens voor het land te kunnen bekostigen.