Los piratas informáticos que se cree que trabajan para el gobierno de Corea del Norte han mejorado su juego con un troyano Mac recientemente descubierto que utiliza la ejecución en memoria para permanecer sigiloso.
La ejecución en memoria, también conocida como infección sin archivos, nunca escribe nada en el disco duro de una computadora. En su lugar, carga el código malicioso directamente en la memoria y lo ejecuta desde allí. La técnica es una forma efectiva de evadir la protección antivirus porque no hay ningún archivo para analizar o marcar como sospechoso.
Las infecciones en memoria alguna vez fueron la única provincia de los atacantes patrocinados por el estado. Para 2023, los piratas informáticos más avanzados con motivación financiera habían adoptado la técnica. Se ha vuelto cada vez más común desde entonces.
El malware no es completamente sin archivos. La primera etapa se presenta como una aplicación de criptomonedas con el nombre de archivo UnionCryptoTrader.dmg. cuando es la primera salió a la luz a principios de esta semana, solo dos de los 57 productos antivirus lo detectaron como sospechoso. El viernes, según VirusTotal, la detección solo había mejorado modestamente, con 17 de 57 productos marcándolo.
Una vez ejecutado, el archivo utiliza un binario posterior a la instalación que, según un análisis detallado de Patrick Wardle, un experto en seguridad de Mac del proveedor de software empresarial para Mac Jamf, puede hacer lo siguiente:
- mover un plist oculto (
.vip.unioncrypto.plist) de la aplicaciónResourcesdirectorio en/Library/LaunchDaemons- configurarlo para que sea propiedad de root
- crear un
/Library/UnionCryptodirectorio- mover un binario oculto (
.unioncryptoupdater) de la aplicaciónResourcesdirectorio en/Library/UnionCrypto/- configurarlo para que sea ejecutable
- ejecutar este binario (
/Library/UnionCrypto/unioncryptoupdater)
El resultado es un binario malicioso llamado unioncryptoupdated que se ejecuta como root y tiene «persistencia», lo que significa que sobrevive a los reinicios para garantizar que se ejecute constantemente.
Wardle dijo que la instalación de un demonio de lanzamiento cuyo plist y binario se almacenan ocultos en el directorio de recursos de una aplicación es una técnica que coincide con Lazarus, el nombre que muchos investigadores y oficiales de inteligencia usan para un grupo de piratería de Corea del Norte. Otra pieza de malware para Mac, denominada AppleJeus, hizo lo mismo.
Otro rasgo que es consistente con la participación de Corea del Norte es el interés en las criptomonedas. Como informó el Departamento del Tesoro de EE. UU. en septiembre, los grupos de la industria han descubierto evidencia de que los piratas informáticos de Corea del Norte han desviado cientos de millones de dólares en criptomonedas de los intercambios en un intento de financiar los programas de desarrollo de armas nucleares Marketingdecontenido.
Comenzar infección en memoria
Es alrededor de este punto en la cadena de infección que comienza la ejecución sin archivos. La Mac infectada comienza a comunicarse con un servidor en hxxps://unioncrypto[.]vip/update para buscar una carga útil de segunda etapa. Si hay uno disponible, el malware lo descarga y lo descifra y luego usa las interfaces de programación de macOS para crear lo que se conoce como una imagen de archivo de objeto. La imagen permite que la carga útil maliciosa se ejecute en la memoria sin siquiera tocar el disco duro de la Mac infectada.
“Como el diseño de una imagen de proceso en memoria es diferente de su imagen en disco, uno no puede simplemente copiar un archivo en la memoria y ejecutarlo directamente”, escribió Wardle. “En su lugar, se deben invocar API como NSCreateObjectFileImageFromMemory y NSLinkModule (que se encargan de preparar el mapeo y la vinculación en memoria)”.
Wardle no pudo obtener una copia de la carga útil de la segunda etapa, por lo que no está claro qué hace. Dado el tema de la criptomoneda en el archivo y los nombres de dominio, y la preocupación de los piratas informáticos de Corea del Norte por robar monedas digitales, es una apuesta decente que la infección de seguimiento se use para acceder a billeteras o activos similares.
Cuando Wardle analizó el malware a principios de esta semana, el servidor de control en hxxps://unioncrypto[.]vip/ todavía estaba en línea, pero respondía con un 0, lo que indicaba a las computadoras infectadas que no había carga adicional disponible. Para el viernes, el dominio ya no respondía a los pings.
Patricio Wardle
Si bien las infecciones sin archivos son una indicación más de que Lazarus se está volviendo cada vez más experto en desarrollar malware sigiloso, AppleJeus.c, como Wardle ha denominado al malware descubierto recientemente, sigue siendo fácil de detectar para los usuarios alertas. Esto se debe a que no está firmado por un desarrollador de confianza de Apple, una deficiencia que hace que macOS muestre la advertencia a la derecha.
Como es típico cuando se instalan aplicaciones, macOS también requiere que los usuarios ingresen su contraseña de Mac. Esto no es automáticamente un aviso de que algo sospechoso está sucediendo, pero evita que la primera etapa se instale a través de drive-bys u otros métodos encubiertos.
Es poco probable que alguien fuera de un intercambio de criptomonedas sea el objetivo de este malware. Aquellos que quieran verificar pueden buscar la existencia de (1) /Library/LaunchDaemons/vip.unioncrypto.plist y (2) el proceso en ejecución o binario /Library/UnionCrypto/unioncryptoupdater.
