Mac 惡意軟體隱藏在電腦，偽裝成加密貨幣交易程式 UnionCryptoTrade 疑似來自北韓駭客？

無文件惡意軟體是一種使用「合法程序」來感染電腦的惡意軟件，在 2017 年以來成為主流的駭客攻擊方式。

通常透過社交軟體或其他釣魚電子郵件的連結，來讓使用者在無知的前提下，誤將惡意軟體安裝到電腦中，隨後這些軟體就會進入記憶體中悄悄執行，

這種屬於「低可觀察特徵（LOC）」的惡意軟體，其可怕之處就在於它不依賴文件、也不佔用資源，因此正常防毒軟體很難檢測到它，並且將它刪除。

因此這種惡意軟體就會隱藏在電腦之中，逃避防毒軟體的安全檢測，並且在記憶體中悄悄執行，直到成為在電腦裡可以受信任的白名單應用程序，惡意軟體就可以透過更高的權限開始執行惡意程式。

而惡意軟體獵人團隊，通過其推特發文指出這個稱為「JMT Trader」的應用之處其不妥之處，並且表示這個針對 Mac 電腦設計的惡意程式，在電腦上運行一個多月，但在上次掃描時仍染偵測不出來其惡意軟體的本質。

So, in short: anyone installed this "JMT Trader" recently (or anytime? – others will probably have the time to dig and find out…), got some APT's malware with it too… pic.twitter.com/tEYJZEYxAq

— MalwareHunterTeam (@malwrhunterteam) October 11, 2019

– 示意圖。圖片來源：Coindesk –

「透過 Denish_Devadoss 貼文中提供的哈希值，我們可以發現在此次針對 Mac 電腦的惡意軟體攻擊中，Lazarus 小組創建一個新網站「unioncrypto.vip」，當我們對這個網站進行 Ping 操作，它顯示目前仍處於線上狀態，而我們也可以找到一個 IP「104.168.167.16」。使用此IP地址查詢 VirusTotal，我們發現一行URL請求中，讓惡意應用程式的下載被觸發。」

並且補充到：

「所以我們現在可以肯定地說，Lazarus Group 到現在仍然一直持續使用這個成功的攻擊手段！」

惡意軟體被質疑來自於北韓駭客組織

透過威脅防護、Web 控制和防火牆功能、機器學習，以及高級威脅抑制與糾正功能 … 等技術整合，部份防毒軟體仍可阻止這類「無文件惡意軟體」的散播。

但是惡意軟體跟防毒安全軟體的戰爭，就像是與時間賽跑。

利用這種惡意攻擊手段的駭客們，也清楚知道正常防毒軟體用來阻止無文件惡意軟體的防禦策略，因此會應用更新的技術來製作越來越複雜、且針對性強的新惡意軟體。

而這個惡意軟體是基於由 Lazurus APT 小組（拉撒路小組）所開發的跨平台惡意軟體 AppleJeus，因此目前這個惡意攻擊就被歸咎是 Lazurus APT 小組所提出的新型攻擊。

注： Lazurus APT 小組（拉撒路小組，或稱作和平衛士小組）是一個神秘、由數量不明的成員所共同組成的網路犯罪組織。

儘管目前對該小組所能得到的資訊少之又少，但研究人員在過去十年中將許多網路攻擊都歸咎於他們。

引發美國財政部長官的關注

根據安全研究服務機構 VirusTotal 的統計，在 72 個 Mac OS 防病毒應用程序中，只有19個可以檢測到該惡意軟體。

美國財政部此前曾承認北韓朝鮮的駭客組織，試圖通過惡意軟體竊取加密貨幣，以支付軍事裝備費用。

美國財政部恐怖主義和金融情報的副部長西格．曼德爾克（Sigal Mandelker）於9月表示：

「美國財政部正在針對進行網路攻擊以支持非法武器、導彈計劃的朝鮮駭客組織採取實際​​行動 … 我們將繼續執行美國和聯合國對朝鮮的現有制裁，並會與國際社會合作以改善全球金融網絡的網路安全。」

?相關報導?

YouTube 也不安全了？防毒軟體 ESET 發現殭屍網路正透過 Youtube 採挖門羅幣

美國國防部正透過區塊鏈技術，開發網絡安全防護系統

《BlockTempo動區動趨》LINE官方號開通囉～立即加入獲得第一手區塊鏈、加密貨幣新聞報導！