Hidden Risk Malware

تركز حملة جديدة لمجموعة التهديدات الكورية الشمالية BlueNoroff على شركات العملات المشفرة، باستخدام برنامج ضار متطور متعدد المراحل يستهدف أنظمة macOS. أطلق الباحثون على الحملة اسم Hidden Risk، حيث تغري الضحايا برسائل بريد إلكتروني تحتوي على أخبار ملفقة حول التطورات الأخيرة في سوق العملات المشفرة. يستخدم البرنامج الضار المتورط في هذه الهجمات تقنية استمرار مبتكرة على macOS، مصممة لتتعذر اكتشافها بواسطة أحدث تحديثات النظام، وتتجاوز تنبيهات الأمان بشكل فعال.

BlueNoroff هي مجموعة جرائم إلكترونية تشتهر بسرقة العملات المشفرة وقد استهدفت في السابق أنظمة macOS. في الهجمات السابقة، استخدموا حمولة تُعرف باسم ObjCShellz، والتي سمحت لهم بإنشاء واجهات برمجة تطبيقات بعيدة على أجهزة Mac المخترقة.

كيف تتم سلسلة عدوى البسكويت المخفية

يبدأ الهجوم بتسليم بريد إلكتروني احتيالي يبدو أنه يحتوي على أخبار متعلقة بالعملات المشفرة، وغالبًا ما يتم تقديمه كرسالة مُعاد توجيهها من مؤثر معروف في مجال العملات المشفرة لإضفاء المصداقية عليه. يتضمن البريد الإلكتروني رابطًا من المفترض أن يؤدي إلى ملف PDF يحتوي على معلومات مهمة، ولكنه في الواقع يوجه الضحية إلى مجال يسيطر عليه المهاجمون، delphidigital.org.

لاحظ الباحثون أن عنوان URL يستضيف حاليًا نسخة غير ضارة من مستند Bitcoin ETF، مع تغيير العناوين، على الرغم من أنه يؤدي في بعض الأحيان إلى المرحلة الأولى من حزمة تطبيقات غير آمنة بعنوان المخاطر المخفية وراء الارتفاع الجديد في سعر Bitcoin.app.

بالنسبة لهذه الحملة، استخدم الفاعل المهدد ورقة أكاديمية شرعية من جامعة تكساس كغطاء. تتضمن المرحلة الأولى من الهجوم تطبيقًا للتنزيل، موقّعًا وموثقًا بموجب معرف مطور Apple صالح، "Avantis Regtech Private Limited (2S8XHJ7948)،" والذي ألغته Apple منذ ذلك الحين.

بمجرد تنفيذ العملية، يقوم البرنامج الخبيث بتنزيل ملف PDF وهمي من رابط Google Drive ويفتحه في عارض PDF الافتراضي لإبقاء الضحية مشتتة. وفي الوقت نفسه، يتم تنزيل المرحلة التالية من الهجوم سراً من موقع matuaner.com. والجدير بالذكر أن المهاجمين قاموا بتعديل ملف Info.plist الخاص بالتطبيق للسماح باتصالات HTTP غير الآمنة بنطاقهم، متجاوزين بذلك بروتوكولات أمان نقل التطبيقات من Apple.

آلية استمرارية جديدة يستغلها الخطر الخفي

الحمولة المرحلة الثانية، المسماة "النمو"، عبارة عن ملف ثنائي Mach-O x86_64 يعمل على كل من أجهزة Intel وأجهزة Apple Silicon المجهزة بإطار محاكاة Rosetta. ويضمن هذا الملف الثبات من خلال تعديل ملف تكوين .zshenv المخفي في دليل المستخدم الرئيسي، والذي يتم تحميله أثناء جلسات Zsh.

لتأكيد الإصابة الناجحة والحفاظ على الثبات، ينشئ البرنامج الخبيث "ملف لمس" مخفيًا في دليل /tmp/، مما يساعد في إبقاء الحمولة نشطة حتى بعد إعادة التشغيل أو تسجيلات دخول المستخدم. تتيح له هذه التقنية تجاوز أنظمة اكتشاف الثبات في macOS 13 والإصدارات الأحدث، والتي تنبه المستخدمين عادةً عند تثبيت LaunchAgents جديدة. من خلال إصابة النظام بملف Zshenv ضار، ينشئ البرنامج الخبيث شكلًا أقوى من الثبات. على الرغم من أن هذه الطريقة ليست جديدة تمامًا، إلا أنها المرة الأولى التي يرى فيها الباحثون استخدامها في الهجمات المباشرة من قبل مؤلفي البرامج الضارة.

بمجرد ترسيخه في النظام، يتصل الباب الخلفي بخادم القيادة والتحكم (C2)، ويتحقق من الأوامر الجديدة كل 60 ثانية. وقد ارتبطت سلسلة وكيل المستخدم التي يستخدمها بالهجمات السابقة المنسوبة إلى BlueNoroff في عام 2023. وتشمل الأوامر التي تم رصدها تنزيل وتنفيذ حمولات إضافية، وتشغيل أوامر shell لتغيير أو سرقة الملفات، أو إيقاف العملية تمامًا.

ويشير الخبراء إلى أن حملة Hidden Risk كانت نشطة خلال الأشهر الاثني عشر الماضية، حيث اتبعت نهجًا أكثر مباشرة في التصيد الاحتيالي بدلاً من استراتيجية "التحضير" التقليدية لوسائل التواصل الاجتماعي التي نراها في عمليات القرصنة الأخرى في كوريا الشمالية. ويشير الباحثون أيضًا إلى قدرة BlueNoroff المستمرة على تأمين حسابات مطوري Apple الجدد وتوثيق حمولاتهم، مما يسمح لهم بتجاوز حماية macOS Gatekeeper.