Μία νόμιμη εφαρμογή 2FA για συσκευές macOS, έχει μολυνθεί από Βορειοκορεάτες hackers για να μπορούν να αποκτήσουν πρόσβαση και να εγκαταστήσουν το trojan Dacls, το οποίο συνδέεται με την ομάδα Lazarus.
To εν λόγω Trojan, έχει χρησιμοποιηθεί και σε παλιότερες περιπτώσεις για να στοχεύσει συστήματα Windows και Linux. Το νέο στέλεχος του Dacls που έχει δημιουργηθεί για macOS, δανείζεται πολλές από τις λειτουργίες των προκατόχων του.
Οι hackers, κατάφεραν να εισάγουν το κακόβουλο λογισμικό στην δωρεάν εφαρμογή MinaOTP που είναι ιδιαίτερα δημοφιλής στους Κινέζους χρήστες. Ένα δείγμα της κακόβουλης έκδοσης, με το όνομα TinkaOTP, παρουσιάστηκε τον περασμένο μήνα, στην υπηρεσία σάρωσης VirusTotal.
Όπως αναφέρουν οι αναλυτές του Malwarebytes, εκείνη την εποχή είχε περάσει απαρατήρητο. Προς το παρόν, το κακόβουλο αρχείο εντοπίζεται στις 23 από τις 59 μηχανές προστασίας από ιούς.
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Το κακόβουλο λογισμικό εκτελείται μετά την επανεκκίνηση του συστήματος, καθώς προστίθεται στο αρχείο λίστας ιδιοτήτων (plist) που χρησιμοποιείται από το LaunchDaemons και το LaunchAgents για την εκτέλεση εφαρμογών κατά την εκκίνηση.
Ένα επιπλέον στοιχείο που δείχνει ότι έχουν κοινή ρίζα, είναι και το αρχείο διαμόρφωσης του κακόβουλου λογισμικού, το οποίο είναι κρυπτογραφημένο με το ίδιο κλειδί AES που εμφανίζεται στο Dacls RAT για Linux.
Οι ερευνητές διαπίστωσαν επίσης ότι έξι από τα επτά πρόσθετα στο δείγμα του macOS, υπάρχουν και στην παραλλαγή του Linux. Ωστόσο η καινούρια παραλλαγή, διαφοροποιείται στο Socks module που ξεκινά έναν proxy μεταξύ του κακόβουλου λογισμικού και της υποδομής C2.
Ερευνητές στο Netlab του Qihoo 360, έχουν κυκλοφορήσει περισσότερες λεπτομέρειες, τις οποίες μπορείτε να δείτε εδώ.
Δεν είναι η πρώτη φορά που η ομάδα Lazarus, διοχετεύει κακόβουλο λογισμικό σε μία νόμιμη εφαρμογή για συστήματα macOS. Τον Σεπτέμβριο του 2019, ερευνητές ασφαλείας ανέλυσαν μια εφαρμογή εμπορίου για macOS, η οποία όπως αποδείχτηκε περιείχε ένα κακόβουλο λογισμικό για κλοπή πληροφοριών χρήστη, ενώ και τον περασμένο Δεκέμβριο, ένα νέο κακόβουλο λογισμικό macOS από την Lazarus, χρησιμοποιούσε την ίδια τακτική.