Threat Database Backdoors OSX / NukeSped

OSX / NukeSped

Le groupe de piratage informatique le plus prolifique en Corée du Nord est sans aucun doute le Lazarus APT (Advanced Persistent Threat). Les experts en sécurité estiment que ce groupe de piratage est parrainé directement par le gouvernement nord-coréen et qu'il est probablement payé pour répondre aux exigences de Kim Jong-un. Parmi leur vaste arsenal d'outils de piratage se trouve le NukeSped RAT (Trojan Access Trojan). Jusqu'à présent, NukeSped RAT avait été conçu pour cibler les périphériques exécutant uniquement Windows. Cependant, il semblerait que le groupe de piratage informatique de Lazarus ait décidé d’étendre sa portée et a repensé le système NukeSped RAT, permettant ainsi à la menace de cibler désormais les systèmes Mac. Le nom de la nouvelle variante NukeSped RAT est OSX / NukeSped.

Méthodes de propagation

Les chercheurs de Malware ont repéré deux méthodes de propagation employées par le groupe de piratage de Lazarus:

  • Un fichier Adobe Flash bidon qui contient une copie authentique de l'application à côté d'un module corrompu destiné à infecter le système ciblé. Lorsque les utilisateurs exécutent le fichier, un diaporama leur est présenté, qui est destiné à les distraire pendant l'exécution du logiciel malveillant en arrière-plan.
  • E-mails de spam contenant une pièce jointe macro-corrompue. Le fichier joint a la forme d'un document et doit ressembler à un test psychologique sud-coréen.

Pour le moment, il semble que les auteurs du programme malveillant OSX / NukeSped se fient davantage à la première méthode, car il s’agit du dernier vecteur d’infection qu’ils ont utilisé.

Les capacités

Lors de l'infection de l'hôte ciblé, la menace OSX / NukeSped s'assurera de gagner en persistance sur le système afin que la menace soit exécutée à chaque fois que les utilisateurs choisissent de redémarrer leur Mac. Ensuite, le malware OSX / NukeSped veillera à établir une connexion avec le serveur C & C (Command & Control) des attaquants dont l’adresse est stockée dans le fichier de configuration de la menace. Une fois la connexion avec le serveur C & C établie, la menace OSX / NukeSped sera en mesure de:

  • Tuer les processus.
  • Exécuter des commandes à distance.
  • Recueillez des données sur la configuration du système, les logiciels et le matériel.
  • Téléchargez des fichiers à partir d'URL spécifiés et exécutez-les.
  • Télécharger des fichiers et les exécuter.
  • Vérifiez sa configuration.
  • Mise à jour automatique.
  • Mettez fin à la connexion avec le serveur C & C pendant une certaine durée.

Le groupe de piratage de Lazarus est un acteur menaçant qu'il convient de prendre au sérieux. Il est à noter qu'ils ont également décidé de cibler les machines fonctionnant sous OSX, car cela étend considérablement leur portée. Assurez-vous que votre système est protégé par une application anti-malware réputée et n'oubliez pas d'appliquer les mises à jour appropriées régulièrement.

Tendance

Le plus regardé

Chargement...