Los infames hackers norcoreanos conocidos como Lazarus APT Group han creado otro malware dirigido a las Macs de Apple que se disfraza detrás de una firma de criptomonedas falsa.

El especialista en seguridad de Mac de Apple e investigador principal de seguridad de Jamf, Patrick Wardle, hizo una publicación de blog el 12 de octubre que describe la naturaleza del malware, revelado por investigadores de MalwareHunterTeam (MHT) el día anterior.

Estrechamente relacionado con el anterior criptomalware de macOS

MHT y Wardle han advertido que en el momento de su advertencia, el malware no fue detectado por ningún motor en VirusTotal y que la muestra parece estar estrechamente relacionada con una cepa de malware Mac creada por el Lazarus Group e identificada por Kaspersky Labs en el verano del 2018.

Al igual que la cepa anterior, los hacker han creado una empresa de criptomonedas falsa —esta vez denominada "JMT Trading"— a través de la cual perpetrarían su ataque. Después de escribir una aplicación de comercio de criptomonedas de código abierto, cargaron su código en GitHub, ocultando el malware que contiene.

Wardle analizó el proceso de instalación de la aplicación, identificando el paquete sospechoso y el demonio de lanzamiento oculto dentro de este y analizando la funcionalidad maliciosa de puerta trasera del script de los hackers.

Si bien la puerta trasera ofrece a un atacante remoto un comando y control completo sobre los sistemas macOS infectados, Wardle señala que las herramientas de seguridad de código abierto y los procesos de detección manual por parte de los usuarios alertados no deberían tener problemas para detectar el malware. Sin embargo, reiteró su advertencia de que los motores de VirusTotal no lo detectaban al momento de escribir este informe.

También considera que los objetivos más probables del malware son los empleados de exchanges de criptomonedas, en lugar de inversores minoristas cotidianos.

Cibervillanos

Como se informó, el Lazarus Group, presuntamente patrocinado por el estado de Corea del Norte, ha logrado infamia por sus actividades malignas. A partir del otoño del 2018, se estimó que el grupo había robado la asombrosa cantidad de USD 571 millones en criptomonedas desde principios del 2017 y fue acusado de participar en el hackeo de USD 532 millones en NEM del exchange japonés Coincheck.

Este septiembre, Anne Neuberger —directora de la Dirección de Ciberseguridad de la Agencia de Seguridad Nacional de Estados Unidos (NSA)— destacó que Corea del Norte es particularmente creativa en su estrategia de guerra cibernética, señalando el supuesto uso de criptomonedas por parte del estado deshonesto para compilar fondos para el presidente del régimen, Kim Jong-Un.

Sigue leyendo: