Grupul de amenințări nord-coreean BlueNoroff vizează afacerile legate de criptomonede cu un nou malware în mai multe etape destinat sistemelor macOS.
Cercetătorii numesc campania Riscul Ascuns și spun că atrage victimele cu e-mailuri care distribuie știri false despre ultimele activități din sectorul criptomonedelor.
Malware-ul folosit în aceste atacuri se bazează pe un mecanism de persistență nou pe macOS care nu declanșează alerte pe ultimele versiuni ale sistemului de operare, evitând astfel detectarea.
BlueNoroff este cunoscut pentru furturile de criptomonede și a vizat macOS-ul în trecut folosind un malware de tip payload numit ‘ObjCShellz’ pentru a deschide shell-uri la distanță pe Mac-urile compromise.
Atacurile încep cu un e-mail de pescuit care conține știri și subiecte legate de criptomonede, făcute să pară că sunt trimise de un influencer în domeniul criptomonedelor pentru a adăuga credibilitate.
Mesajul este însoțit de un link care ar trebui să ducă la citirea unui PDF legat de informația respectivă, dar care duce către domeniul ‘delphidigital[.]org’ controlat de atacatori.
Potrivit cercetătorilor de la SentinelLabs, „URL-ul servește în prezent o formă benignă a documentului Bitcoin ETF cu titluri care se schimbă în timp”, dar uneori servește prima etapă a unui pachet de aplicații malițioase numit „Riscul Ascuns din Spatele Noii Creșteri a Prețului Bitcoin.app”.
Cercetătorii spun că pentru campania Riscul Ascuns, actorul de amenințare a folosit o copie a unui articol academic autentic de la Universitatea din Texas.
Prima etapă este o aplicație de lansare semnată și notarizată folosind un ID de dezvoltator Apple valid, „Avantis Regtech Private Limited (2S8XHJ7948)”, pe care Apple a retras-o acum.
Când este executat, lansatorul descarcă un PDF decoy de la un link Google Drive și îl deschide în vizualizatorul de PDF implicit pentru a distrage victima. În fundal, totuși, este descărcată următoarea etapă a payload-ului de la „matuaner[.]com”.
Remarcabil, hackerii au manipulat fișierul „Info. plist” al aplicației pentru a permite conexiuni nesigure HTTP către domeniul controlat de atacatori, suprascriind practic politicile de securitate a aplicațiilor Apple.
Al doilea payload, numit „growth”, este un binar x86_64 Mach-O care rulează doar pe dispozitive Intel și Apple Silicon care au framework-ul de emulare Rosetta.
Obține persistență pe sistem modificând fișierul de configurare „.zshenv”, ascuns în directorul home al utilizatorului și care se încarcă în sesiunile Zsh.
Malware-ul instalează un „fișier de atingere” ascuns în directorul /tmp/ pentru a marca o infecție și persistență reușită, asigurându-se că payload-ul rămâne activ în timpul repornirilor și sesiunilor utilizatorului.
Această metodă face posibilă ocolirea sistemelor de detectare a persistenței introduse de Apple în macOS 13 și mai târziu, care alertează utilizatorii prin notificări atunci când sunt instalate LaunchAgents pe sistemul lor.
„Infectarea gazdei cu un fișier Zshenv malițios permite o formă mai puternică de persistență”, explică SentinelLabs.
„Deși această tehnică nu este necunoscută, este prima dată când am observat-o folosită în sălbăticie de autori de malware”.
Odată cu nestingul în sistem, backdoor-ul se conectează la serverul de comandă și control (C2), verificând noi comenzi la fiecare 60 de secunde. Șirul agentului utilizat pentru aceasta a mai fost văzut în atacuri în 2023 atribuite lui BlueNoroff.
Comenzile observate sunt pentru descărcarea și executarea de payload-uri suplimentare, rularea de comenzi shell pentru a manipula sau exfiltra fișiere sau ieșire (oprirea procesului).
SentinelLabs spune că campania „Riscul Ascuns” rulează de aproximativ 12 luni sau mai mult, urmând o abordare de pescuit mai directă care nu implică tipicul „grooming” pe rețelele de socializare în care se angajează alți hackeri din Coreea de Nord.
Cercetătorii notează, de asemenea, că BlueNoroff a arătat o capacitate constantă de a obține noi conturi de dezvoltator Apple și a-și notariza payload-urile pentru a ocoli macOS Gatekeeper.
Leave a Reply