Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Backdoors OSX / NukeSped

OSX / NukeSped

Por GoldSparrow en Backdoors, Mac Malware
Traducir a:
Español

El grupo de piratería más prolífico de Corea del Norte es el Lazarus APT (Advanced Persistent Threat), sin duda. Los expertos en seguridad creen que este grupo de piratas está patrocinado directamente por los gobernadores de Corea del Norte y probablemente se le paga para hacer lo que Kim Jong-un le ordena. Entre su amplio arsenal de herramientas de piratería está el NukeSped RAT (Troyano de acceso remoto). Hasta ahora, NukeSped RAT fue diseñado para dispositivos de destino que ejecutan solo Windows. Sin embargo, parece que el grupo de piratería de Lazarus ha decidido expandir su alcance y ha rediseñado la RAT NukeSped permitiendo que la amenaza ahora también se dirija a los sistemas Mac. El nombre de la nueva variante NukeSped RAT es OSX / NukeSped.

Métodos de propagación

Los investigadores de malware han detectado dos métodos de propagación empleados por el grupo de piratería de Lazarus:

  • Un archivo falso de Adobe Flash que lleva una copia genuina de la aplicación junto con un módulo dañado destinado a infectar el sistema de destino. Cuando los usuarios ejecutan el archivo, se les presentará una presentación de diapositivas para distraerlos mientras el malware se ejecuta en segundo plano.
  • Correos electrónicos no deseados que contienen un archivo adjunto macro-comprometido comprometido. El archivo adjunto tiene la forma de un documento y parece un examen psicológico de Corea del Sur.

Por ahora, parece que los autores del malware OSX / NukeSped confían más en el primer método, ya que este es el último vector de infección que han utilizado.

Capacidades

Al infectar el host objetivo, la amenaza OSX / NukeSped se asegurará de ganar persistencia en el sistema para que la amenaza se ejecute cada vez que los usuarios opten por reiniciar su Mac. A continuación, el malware OSX / NukeSped se asegurará de establecer una conexión con el servidor de C&C (Comando y Control) de los atacantes cuya dirección se almacena en el archivo de configuración de la amenaza. Al conectarse con el servidor C&C con éxito, la amenaza OSX / NukeSped podrá:

  • Mata procesos.
  • Ejecuta comandos remotos.
  • Recopile datos sobre la configuración del sistema, el software y el hardware.
  • Descargue archivos de las URL especificadas y ejecútelos.
  • Sube archivos y ejecútalos.
  • Verifique su configuración.
  • Actualización automática
  • Finalice la conexión con el servidor de C&C por una cierta duración.

El grupo de piratería de Lazarus es un actor de amenazas que debe tomarse en serio. Es notable que hayan decidido comenzar a apuntar a máquinas que ejecutan OSX, con demasiada certeza, ya que esto expande su alcance de manera significativa. Asegúrese de que su sistema esté protegido por una aplicación antimalware de buena reputación y no olvide aplicar las actualizaciones apropiadas con regularidad.

Tendencias

Mas Visto

Cargando...