En del riktigt lömska skadeprogram installerar inga filer alls på en infekterad dators hårddisk, utan lever helt och hållet i internminnet medan datorn är igång. Det gör det lättare att undvika antivirusprogram och gör att skadeprogrammet inte lämnar några permanenta spår.

Nu har Dinesh Devadoss på K7 Computing upptäckt en ny trojan som ser ut att vara utvecklad av nordkoreanska hackergruppen Lazarus och riktar sig mot Mac-användare. Patrick Wardle på Objective See har undersökt trojanen och går i sin blogg igenom hur den infekterar Macen.

Till skillnad från tidigare skadeprogram för Mac från Lazarus-gruppen använder den nya trojanen delvis en fillös taktik. Attacken börjar med att en användare luras att ladda ner och installera ett falskt kryptovalutaprogram. Det installerar ett litet program som ligger och kör i bakgrunden och väntar på att en kontrollserver ska svara på anrop med ny skadlig kod.

Det intressanta är hur trojanen sedan kör den här nedladdade koden. Koden dekrypteras och läses in i internminnet, varifrån programmet laddar in och länkar den så att den kan köras utan att någonsin ligga på hårddisken.

Med andra ord handlar det inte om en totalt fillös attack, men det enda som ligger kvar på den infekterade Macen är koden som startar trojanen. Vad eventuell kod som har hämtats från kontrollservern har gjort kan Patrick Wardle inte svara på, eftersom servern hittills inte har svarat.