Coś takiego zdarza się raz w roku: bezplikowy trojan atakuje macOS

System macOS jest uznawany za ponadprzeciętnie bezpieczny. Po części odpowiada za to jego relatywnie niska popularność – na rynku komputerów osobistych Apple ma udział na poziomie 10 proc. Gdy pojawia się poważne zagrożenie dla systemu macOS, to niemal powód do świętowania.

Nowe zagrożenie jest obecnie trudne do wykrycia, ale coraz więcej programów antywirusowych sobie z nim radzi (we wtorek były to tylko 4, w chwili pisania artykułu trojana blokowało już 12 silników). Trojana można złapać za pośrednictwem giełdy kryptowalut.

Zagrożenie odkrył prawdopodobnie Dinesh Devadoss we wtorek. Specjalista jako pierwszy dostarczył skrót hash próbki, która była w stanie załadować plik wykonywalny Mach-O (format plików wykonywalnych dla systemów z jądrem Mach, a więc macOS, iOS i NeXTSTEP). Plik ten nie będzie jednak zapisany na dysku, ale umieszczony w pamięci operacyjnej, co znacznie utrudnia jego analizę. Takie zagrożenia nazywane są bezplikowymi (ang. fileless). Technika jest stara… jak dyskietki – w ten sposób działał między innymi sławny Michalangelo.

O ile na Windowsie jest to dość powszechna praktyka, bezplikowe ataki na macOS to rzadkość. Najwięcej rozgłosu zyskał trojan Gmera, ktory rozpakowywał i wykonywał szkodliwy skrypt w RAM-ie. Co ciekawe, on także udawał aplikację dla handlujących kryptowalutami.

Peter Wardle przeprowadził analizę zagrożenia. Nowe zagrożenie było rozprowadzane przez stronę unioncrypto[.]vip (w momencie publikacji strona już nie działała) pod postacią programu obsługującego transakcje UnionCryptoTrader. Pakiet nie miał cyfrowego podpisu, więc by go zainstalować, trzeba było wyłączyć ostrzeżenie systemu macOS o niebezpieczeństwie. Najwyraźniej jednak nie jest to żadna przeszkoda.

Nie obawiaj się bezplikowych trojanów. Są one łatwe do wykrycia i unieszkodliwienia dzięki kompleksowej ochronie marki Bitdefender.

Po instalacji programu uruchamiany był szkodliwy skrypt, który zapewniał trojanowi stałą obecność w systemie. Potrzebne do tego pliki były ukryte w pakiecie z programem. Na przykład .vip.unioncrypto.plist (kropka na początku nazwy oznacza, że mamy do czynienia z ukrytym plikiem, którego nie zobaczymy w menedżerze plików z domyślnymi ustawieniami) był przenoszony do folderu /Library/LaunchDaemons, co razem ze zmianą ustawień zapewniało automatyczny start razem z systemem. Szkodliwy, ukryty plik .unioncryptoupdater z programu był przenoszony do folderu /Library/UnionCrypto i z niego uruchamiany.

Na początku działania trojan pobierał informacje o systemie i numerze seryjnym Maca. Informacje wysyłał do serwera sterującego, skąd mógł pobrać dalsze komponenty ataku. Podczas analizy Wardle nie zauważył jednak, by serwer zlecał pobranie czegoś. Możliwe, że atak został wykryty, zanim cyberprzestępcy zakończyli przygotowania.

Analitycy są zdania, że zagrożenie ma korzenie w Korei Północnej. Próbki szkodliwego kodu sugerują, że autorami są członkowie grupy hakerskiej Lazarus – tej samej, która w 2017 roku atkowała Komisję Nadzoru Finansowego.

Peter Wardle znalazł sporo cech wspólnych nowego trojana z innym, także przypisywanym grupie Lazarus. Chodzi o backdoor znany jako AppleJeus, rozprowadzany latem 2018 roku. Cyberprzestępcy stworzyli fałszywą platformę handlującą kryptowalutami i dodali „coś od siebie” do programów do obsługi transakcji na Windowsie i macOS. Analogiczną kampanię prowadzili w październiku pod przykrywką giełdy JMTTrading[.]org.