El investigador Dinesh Devadoss reveló la existencia de un malware difícil de detectar que afecta al sistema operativo macOS, y cuyo origen se sospecha que proviene del grupo de hackers norcoreanos Lazarus.

Los creadores del malware utilizan una empresa falsa de comercio de criptomonedas para su distribución. El proceso de infección se inicia al descargar la aplicación de esta empresa, que contiene una muestra del malware en el archivo de nombre “UnionCryptoTrader”. Cabe mencionar que, al intentar instalar la aplicación, se muestra un mensaje de alerta indicando que el ejecutable no está firmado, por lo que puede representar un riesgo de seguridad. Una vez finalizada la instalación de la aplicación, el malware ejecuta un script para instalarse a sí mismo como un proceso de sistema que persiste aún después de reiniciar la máquina.

Esta amenaza es difícil de detectar, debido a que el código malicioso no se encuentra almacenado en el disco duro de la computadora, sino que el malware contacta a un servidor de comando y control que proporciona un payload malicioso que, en lugar de almacenarse en disco, se ejecuta directamente en memoria, por lo que se le cataloga como un malware “Fileless”.

Se considera que este nuevo malware está relacionado con uno identificado previamente por MalwareHunterTeam, quienes descubrieron en el mes de octubre pasado que una empresa falsa de comercio de criptomonedas ofrecía una plataforma llamada JMT Trader, que al ser instalada en equipos MacOS o Windows, generaba un backdoor en el sistema para ser comprometido.

Referencias:
https://www.bleepingcomputer.com/news/security/new-macos-threat-served-from-cryptocurrency-trading-platform/
https://www.criptonoticias.com/seguridad-bitcoin/malware/malware-computadoras-apple-criptomonedas-fachada/
https://nakedsecurity.sophos.com/2019/12/06/mac-users-targetted-by-lazarus-fileless-trojan/