OSX/NukeSped
O grupo de hackers mais prolífico da Coréia do Norte é o Lazarus APT (Ameaça Persistente Avançada), sem dúvida. Especialistas em segurança acreditam que esse grupo de hackers é patrocinado diretamente pelos governadores da Coréia do Norte e provavelmente é pago para fazer a oferta de Kim Jong-un. Entre seu vasto arsenal de ferramentas de hackers está o NukeSped RAT (Remote Access Trojan). Até agora, o NukeSped RAT foi projetado para segmentar apenas dispositivos executando o Windows. No entanto, parece que o grupo de hackers Lazarus decidiu expandir seu alcance e redesenhou o NukeSped RAT, permitindo que a ameaça agora também atinja sistemas Mac. O nome da nova variante do NukeSped RAT é OSX/NukeSped.
Métodos de Propagação
Os pesquisadores de malware detectaram dois métodos de propagação empregados pelo grupo de hackers Lazarus:
- Um arquivo falso do Adobe Flash que carrega uma cópia genuína do aplicativo ao lado de um módulo corrompido destinado a infectar o sistema visado. Quando os usuários executam o arquivo, eles recebem uma apresentação de slides destinada a distraí-los enquanto o malware está sendo executado em segundo plano.
- E-mails de spam contendo um anexo comprometido com macros. O arquivo anexado tem a forma de um documento e deve parecer um teste psicológico da Coréia do Sul.
Por enquanto, parece que os autores do malware OSX/NukeSped confiam mais no primeiro método, pois esse é o vetor de infecção mais recente que eles utilizaram.
Recursos
Ao infectar o host de destino, a ameaça OSX/NukeSped garantirá persistência no sistema, para que a ameaça seja executada toda vez que os usuários optarem por reiniciar o Mac. Em seguida, o malware OSX/NukeSped estabelecerá uma conexão com o servidor C&C (Comando e Controle) do invasor cujo endereço está armazenado no arquivo de configuração da ameaça. Ao conectar-se ao servidor C&C com êxito, a ameaça OSX/NukeSped poderá:
- Mate processos.
- Execute comandos remotos.
- Reúna dados sobre a configuração, software e hardware do sistema.
- Baixe arquivos de URLs especificados e execute-os.
- Carregar arquivos e executá-los.
- Verifique sua configuração.
- Atualização automática.
- Encerre a conexão com o servidor C&C por um determinado período.
O grupo de hackers do Lazarus é um ator de ameaças que deve ser levado a sério. É notável que eles tenham decidido começar a ter como alvo máquinas que executam o OSX, certamente, pois isso expande seu alcance significativamente. Verifique se o seu sistema está protegido por um aplicativo anti-malware respeitável e não se esqueça de aplicar as atualizações apropriadas regularmente.