Mac 惡意軟體隱藏在電腦，偽裝成加密貨幣交易程式 UnionCryptoTrade 疑似來自北韓駭客？

無文件惡意軟件通過釣魚軟體或其他接觸管道，讓使用者誤安裝之後，便潛伏在電腦記憶體中並感染使用者的電腦；由於它難以偵測、不依賴文件、也不佔用資源的特色，可以偽裝成任何正常的應用程式，直到取得更高的電腦權限之後，就可以傷害使用者的電腦、數據甚至其財產。

本文目錄

現在，一個無文件惡意軟體（Fileless Malware）正在偽裝成一般的加密貨幣交易應用程式「UnionCryptoTrader.dmg」，並悄悄地感染使用者的 Mac 電腦。

這個惡意攻擊被懷疑是來自北韓朝鮮的駭客組織 Lazurus APT 小組的新攻擊行為。

無文件惡意軟體是什麼

無文件惡意軟體是一種使用「合法程序」來感染電腦的惡意軟件，在 2017 年以來成為主流的駭客攻擊方式。

通常透過社交軟體或其他釣魚電子郵件的連結，來讓使用者在無知的前提下，誤將惡意軟體安裝到電腦中，隨後這些軟體就會進入記憶體中悄悄執行，

這種屬於「低可觀察特徵（LOC）」的惡意軟體，其可怕之處就在於它不依賴文件、也不佔用資源，因此正常防毒軟體很難檢測到它，並且將它刪除。

因此這種惡意軟體就會隱藏在電腦之中，逃避防毒軟體的安全檢測，並且在記憶體中悄悄執行，直到成為在電腦裡可以受信任的白名單應用程序，惡意軟體就可以透過更高的權限開始執行惡意程式。

而惡意軟體獵人團隊，通過其推特發文指出這個稱為「JMT Trader」的應用之處其不妥之處，並且表示這個針對 Mac 電腦設計的惡意程式，在電腦上運行一個多月，但在上次掃描時仍染偵測不出來其惡意軟體的本質。

So, in short: anyone installed this "JMT Trader" recently (or anytime? – others will probably have the time to dig and find out…), got some APT's malware with it too… pic.twitter.com/tEYJZEYxAq

— MalwareHunterTeam (@malwrhunterteam) October 11, 2019

偽裝成加密貨幣交易網站

攻擊者創辦一個看起來合法的加密貨幣交易網站，名為JMTTrading，該網站提供「智能型加密貨幣套利交易平台」，過去曾給予惡意軟件下載點，但目前似乎已經不再提供。

– 示意圖。圖片來源：Coindesk –

對此，K7 實驗室中的惡意軟體研究員 Denish_Devadoss 透過其推特提供了一個 MD5 哈希值及其他研究評論，使其他用戶可以透過此哈希值在 VirusTotal 上定位樣本。

Another #Lazarus #macOS #trojan
md5: 6588d262529dc372c400bef8478c2eec
hxxps://unioncrypto.vip/

Contains code: Loads Mach-O from memory and execute it / Writes to a file and execute it@patrickwardle @thomasareed pic.twitter.com/Mpru8FHELi

— Dinesh_Devadoss (@dineshdina04) December 3, 2019

而在專門提供 Mac 電腦相關安全防毒軟體的網站 Objective-See 中，惡意軟體研究員 Patrick Wardle 也分享其觀察：

「透過 Denish_Devadoss 貼文中提供的哈希值，我們可以發現在此次針對 Mac 電腦的惡意軟體攻擊中，Lazarus 小組創建一個新網站「unioncrypto.vip」，當我們對這個網站進行 Ping 操作，它顯示目前仍處於線上狀態，而我們也可以找到一個 IP「104.168.167.16」。使用此IP地址查詢 VirusTotal，我們發現一行URL請求中，讓惡意應用程式的下載被觸發。」

並且補充到：