Una delle tipologie di virus in maggiore ascesa, negli ultimi due anni, è quella dei malware “fileless” che tendono a caricarsi in memoria, in modo da aggirare le consuete analisi dei software antivirus, e continuare ad agire indisturbati. Dopo il caso dello scorso Novembre, un nuovo episodio è occorso di recente, questa volta – però – a danno degli utenti Apple.

Patrick Wardle, esperto di sicurezza, in base ad un file hash fornito dal collega ricercatore Dinesh Devadoss, ha ipotizzato che, dietro la nuova minaccia, possa esservi il governo nordcoreano, interessato a testare meccanismi per l’occultamento dei propri attacchi digitali e/o a sottrarre criptovalute.

Nello specifico, a conferma di tale ipotesi concorre il fatto che l’infezione riscontrata sia partita dal portale “unioncrypto.vip” che si proponeva come base per il trading e lo scambio di criptovalute tramite appositi software, di cui – tuttavia – non venivano messi a disposizione i link per il download: da questa location arrivava il programma UnionCryptoTrader che, una volta eseguito, liberava un pacchetto non firmato e, quindi, segnalato al sistema macOS che, di conseguenza, richiedeva i permessi di root (amministrazione), tramite user e password dell’utente, per procedere all’installazione.

A quel punto, partita l’interrogazione di un server web remoto (locato all’indirizzo 104.168.167.16), veniva scaricato il payload maligno, pacchettizzato in forma di immagine, tramite gli strumenti di programmazione del sistema operativo Apple, prima di essere mandato in esecuzione nella memoria RAM del terminale infettato. Il tutto, per altro, non si concludeva qui.

Secondo quanto condiviso dalla pagina “Objective See” il virus in oggetto, con un meccanismo d’azione ed un interesse per le criptovalute che porta a ricordare il malware AppleJeus scoperto dai Kaspersky Labs ed attribuito al gruppo hacker Lazarus, risulterebbe pericoloso sia per il suo essere scarsamente rilevato dagli antivirus (su VirusTotal ciò avviene solo ad opera di 17 motori di analisi, su 57) che per un meccanismo di persistenza che, tramite uno script, tenderebbe a ripristinare l’infezione ad ogni riavvio o boot di sistema.