最近，安全研究人员发现朝鲜黑客团伙在利用Mac恶意软件加强其攻击活动，该恶意软件使用内存中执行来保持隐身。

内存中执行（也称为无文件感染），不是向计算机硬盘驱动器写入任何内容，相反，它是将恶意代码直接加载到内存中执行。因为没有文件可分析或标记可疑，使得该技术成为逃避防病毒检测的有效方法。

在过去，无文件感染曾是政府背景黑客的专用手段，但到了2017年，出于经济动机的黑客采用了这种技术，此后，这种手段越来越普遍。

UnionCryptoTrader.dmg

无文件感染并非完全没有文件。只不过它们在大部分时间里会通过进驻内存来保持隐身。比如在上周首次曝光的一个名为UnionCryptoTrader.dmg的加密货币应用程序，57款杀毒产品中只有两款检测出其可疑。到了周五，根据VirusTotal的数据，检测结果略有改善，但57种产品中也只有17款产品对其做了标记。

根据企业Mac软件提供商Jamf的Mac安全专家Patrick Wardle 的分析，该恶意软件具有一个“后安装”脚本，一旦启动，会执行以下操作：

将隐藏的plist（.vip.unioncrypto.plist）从应用程序的Resources目录移至/ Library / LaunchDaemons

将其设置为由根拥有

创建一个/ Library / UnionCrypto目录

将隐藏的二进制文件（.unioncryptoupdater）从应用程序的Resources目录移至/ Library / UnionCrypto /

执行此二进制文件（/ Library / UnionCrypto / unioncryptoupdater）

这个UnionCryptoTrader.dmg，以根身份运行并具有“持久性”，这意味着它在重新启动后仍然可以持续运行。

Wardle表示，安装启动守护程序（其plist和二进制文件隐藏在应用程序的资源目录中）是朝鲜黑客组织Lazarus常用的技术。此外，朝鲜黑客组织活动的另一个特征是对加密货币的兴趣。比如美国财政部在9月份的报道，指出行业组织已经发现证据表明，朝鲜黑客从交易所那里窃取了价值数亿美元的加密货币，试图为该国的核武器开发计划提供资金。

这些都佐证了该恶意软件与Lazarus的关联。

内存感染开始

在感染链上，无文件执行开始。受感染的Mac开始联系位于hxxps://unioncrypto[.]vip/update的服务器，以检查第二阶段的负载。如果有可用的恶意软件，则该恶意软件将其下载并解密，然后使用macOS编程界面创建所谓的目标文件映像。该映像允许恶意有效载荷在内存中运行，而无需接触被感染Mac的硬盘。

Wardle写道：“由于内存中过程映像的布局与磁盘上映像的布局不同，因此无法简单地将文件复制到内存中并直接执行它，相反，必须调用诸如NSCreateObjectFileImageFromMemory和NSLinkModule之类的API（它们负责准备内存中的映射和链接）。”

由于无法获得第二阶段有效载荷的副本，因此尚不清楚它的作用。考虑到文件和域名中的加密货币主题，以及朝鲜黑客对数字货币的关注，后续感染可以在访问钱包或类似资产上。

上周，位于hxxps：// unioncrypto [.] vip /的控制服务器仍处于联机状态，但响应为0，这表明受感染的计算机没有可用的其他有效负载。

尽管无文件感染进一步表明Lazarus越来越擅长于开发隐形恶意软件，但Wardle称其为最近发现的恶意软件，AppleJeus.c仍警告用户检测，这都是因为它不是由Apple信任的开发人员签名的，该漏洞导致macOS在右侧显示一个警告。与安装应用程序时一样，macOS也要求用户输入其Mac密码，不过这也确实阻止了第一阶段通过偷渡或其他秘密方法进行安装。

最后，这种恶意软件不太可能针对加密货币交易所以外的任何人。但如果想要检测，可以查找：

（1）/Library/LaunchDaemons/vip.unioncrypto.plist

（2）正在运行的进程或二进制文件/ Library / UnionCrypto / unioncryptoupdater的存在。

*参考来源：arstechnica，kirazhou编译整理，转载请注明来自 FreeBuf.COM