OSX/NukeSped

O grupo de hackers mais prolífico da Coréia do Norte é o Lazarus APT (Ameaça Persistente Avançada), sem dúvida. Especialistas em segurança acreditam que esse grupo de hackers é patrocinado diretamente pelos governadores da Coréia do Norte e provavelmente é pago para fazer a oferta de Kim Jong-un. Entre seu vasto arsenal de ferramentas de hackers está o NukeSped RAT (Remote Access Trojan). Até agora, o NukeSped RAT foi projetado para segmentar apenas dispositivos executando o Windows. No entanto, parece que o grupo de hackers Lazarus decidiu expandir seu alcance e redesenhou o NukeSped RAT, permitindo que a ameaça agora também atinja sistemas Mac. O nome da nova variante do NukeSped RAT é OSX/NukeSped.

Métodos de Propagação

Os pesquisadores de malware detectaram dois métodos de propagação empregados pelo grupo de hackers Lazarus:

• Um arquivo falso do Adobe Flash que carrega uma cópia genuína do aplicativo ao lado de um módulo corrompido destinado a infectar o sistema visado. Quando os usuários executam o arquivo, eles recebem uma apresentação de slides destinada a distraí-los enquanto o malware está sendo executado em segundo plano.
• E-mails de spam contendo um anexo comprometido com macros. O arquivo anexado tem a forma de um documento e deve parecer um teste psicológico da Coréia do Sul.

Por enquanto, parece que os autores do malware OSX/NukeSped confiam mais no primeiro método, pois esse é o vetor de infecção mais recente que eles utilizaram.

Recursos

Ao infectar o host de destino, a ameaça OSX/NukeSped garantirá persistência no sistema, para que a ameaça seja executada toda vez que os usuários optarem por reiniciar o Mac. Em seguida, o malware OSX/NukeSped estabelecerá uma conexão com o servidor C&C (Comando e Controle) do invasor cujo endereço está armazenado no arquivo de configuração da ameaça. Ao conectar-se ao servidor C&C com êxito, a ameaça OSX/NukeSped poderá:

• Mate processos.
• Execute comandos remotos.
• Reúna dados sobre a configuração, software e hardware do sistema.
• Baixe arquivos de URLs especificados e execute-os.
• Carregar arquivos e executá-los.
• Verifique sua configuração.
• Atualização automática.
• Encerre a conexão com o servidor C&C por um determinado período.

O grupo de hackers do Lazarus é um ator de ameaças que deve ser levado a sério. É notável que eles tenham decidido começar a ter como alvo máquinas que executam o OSX, certamente, pois isso expande seu alcance significativamente. Verifique se o seu sistema está protegido por um aplicativo anti-malware respeitável e não se esqueça de aplicar as atualizações apropriadas regularmente.