Dal blog Malwarebytes LABS:

Recentemente è stata identificata quella che i ricercatori credono sia una nuova variante del Dacls Remote Access Trojan (RAT) associato al gruppo Lazarus della Corea del Nord, progettato specificamente per il sistema operativo Mac. Dacls è un RAT che è stato scoperto da Qihoo 360 NetLab nel dicembre 2019 come Trojan di accesso remoto nascosto completamente funzionale destinato alle piattaforme Windows e Linux.

Questa versione per Mac è almeno distribuita tramite un’applicazione di autenticazione a due fattori trojanizzata per macOS chiamata MinaOTP, utilizzata principalmente dagli speaker cinesi. Simile alla variante Linux, vanta una varietà di funzioni tra cui l’esecuzione dei comandi, la gestione dei file, il proxy del traffico e la scansione dei worm.

Scoperta: l’8 aprile, un’applicazione Mac sospetta denominata TinkaOTP è stata inviata a VirusTotal da Hong Kong. Nessun rilevamento fino a quel momento. Nella directory, il bot dannoso eseguibile “Sommario / Risorse / Base.lproj /” dell’applicazione, che finge di essere un file pennino (“SubMenu.nib”) mentre è un file eseguibile per Mac. Conteneva le stringhe “c_2910.cls” e “k_3872.cls” che sono i nomi dei file del certificato e della chiave privata precedentemente osservati.

Persistenza: questo RAT persiste tramite LaunchDaemons o LaunchAgents che accettano un file dell’elenco delle proprietà (plist) che specifica l’applicazione che deve essere eseguita dopo il riavvio. La differenza tra LaunchAgents e LaunchDaemons è che LaunchAgents esegue il codice per conto dell’utente che ha effettuato l’accesso mentre LaunchDaemon esegue il codice come utente root. All’avvio dell’applicazione dannosa, crea un file plist con il nome “com.aex-loop.agent.plist” nella directory “Library / LaunchDaemons”. Il contenuto del file plist è codificato all’interno dell’applicazione.

Conclusione: la scoperta delle varianti Windows / Linux e l’analisi di questa routine hanno dimostrato la gamma di competenze di Lazarus. Come menzionato in una precedente scoperta di Lazarus che coinvolge MacOS, questo spostamento dell’attenzione verso l’attacco di più sistemi operativi indica un’espansione degli obiettivi. Mostra anche che stanno sperimentando casi futuri, evidenziati dal plug-in aggiuntivo che non è stato osservato in routine simili.
Il gruppo Lazarus ha mostrato un rapido sviluppo nella ricerca. Relativamente a questa routine, il dropper del solo metodo di evasione implementato dalla prima variante era l’uso della copia del payload in un file nascosto; la seconda variante è migliorata scaricando invece il payload. Sebbene considerevolmente non sia ancora così sofisticato, data la rapidità con cui il malware AppleJeus ha seguito una versione senza file, si attende che il gruppo distribuisca presto un’esecuzione simile di questa routine.
È probabile che Lazarus possa essere rivolto a utenti specifici per la distribuzione dei bot, sfruttando le esigenze degli utenti per la sicurezza a più livelli. Gli strumenti di autenticazione OTP sono stati utilizzati anche per gestire portafogli e scambi di criptovaluta, un altro obiettivo comune per le frodi da parte del gruppo criminale informatico. Lazarus potrebbe anche espandersi su piattaforme mobili, considerando che la sorgente originale MinaOTP contiene un progetto separato chiamato MinaOTP-iOS, il gruppo potrebbe avere in programma di ricostruire una versione riproposta proprio per dispositivi mobili.

Per proteggere i sistemi da questo tipo di minaccia, gli utenti devono scaricare app solo da mercati ufficiali e legittimi, ed eventualmente prendere in considerazione soluzioni di sicurezza multistrato.

Autori: Hossein Jazi, Thomas Reed e Jérôme Seguradel del 

 

https://blog.malwarebytes.com/author/threatintelligence/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE