Erstmals tauchte Anfang April die Malware auf VirusTotal auf. Inzwischen wird sie von 23 von 59 Antivirus-Engines erkannt und es wird vermutet das die Lazarus-Gruppe und damit Nordkorea hinter der Schadsoftware steckt.
Eine manipulierte Version der 2FA-App MinaOTP wurde von Malwarebytes entdeckt, die einen Remote Access Trojan namens Dacls enthält. Bisher wurde die Malware für Windows- und Linux-Systeme benutzt, um diese anzugreifen. Die neue Variante nimmt indes Apples Desktopbetriebssystem macOS ins Visier.
Hinter Dacls werden Hacker vermutet, die mit Unterstützung von Nordkorea agieren sollen. Berichten zufolge ist MinaOTP vor allem bei Nutzern in China verbreitet. Die mit dem Trojaner verseuchte Version des Tools wurde jedoch unter der Bezeichnung TinkaOTP im vergangenen Monat beim Malware-Scanner VirusTotal eingereicht Entdeckt wurde der Trojaner zu dem Zeitpunkt – am 8. April – von keiner Antivirus-Engine. Bisher sind 23 von 59 Engines, die inzwischen auf VirusTotal vertreten sind, sollen in der Lage sein, die Schadsoftware zu erkennen.
Zufolge der Sicherheitsforschung übernimmt die Mac-Version von Dacls zahlreiche Details der Varianten für Windows und Linux – darunter die Namen von Zertifikaten und auch der AES-Schlüssel, der für die Verschlüsselung der Konfigurationsdatei des Trojaners benutzt wird, ist auf allen drei Plattformen identisch.
Außerdem sollen unter macOS auch sechs Plugins zum Einsatz kommen, die schon von Windows und Linux bekannt sind. Neu jedoch ist ein Socks-Modul, das einen Proxy zwischen der Malware und der Befehlsserverinfrastruktur startet.
Geschützt wird der Trojaner mit der Open-Source-Bibliothek WolfSSL. Einer bestimmten Hackergruppe lasse sie sich jedoch nicht zuordnen, heißt es weiter in dem Bericht. Allerdings wird hinter der Kampagne die aus Nordkorea stammende Lazarus Group vermutet. Schon früher setzte sie auf mit Malware verseuchte legitime Software.
So fand Kaspersky bereits 2018 einen Installer für eine Handelsplattform für Kryptowährungen, die einen Trojaner enthielt. Auch macOS soll die Gruppe schon früher angegriffen haben.