Hidden Risk Malware

Нова кампания на севернокорейската група за заплахи BlueNoroff се фокусира върху бизнеса с криптовалута, използвайки сложен многоетапен злонамерен софтуер, насочен към macOS системи. Наречена от изследователите Скритият риск, кампанията примамва жертвите с имейли, които съдържат измислени новини за последните развития на пазара на криптовалута. Злонамереният софтуер, участващ в тези атаки, използва иновативна техника за устойчивост на macOS, проектирана да остане незабелязана от най-новите системни актуализации, ефективно заобикаляйки предупрежденията за сигурност.

BlueNoroff е група за киберпрестъпления, известна с кражбата на криптовалута и преди това е била насочена към macOS системи. В минали атаки те използваха полезен товар, известен като ObjCShellz, който им позволяваше да установят отдалечени обвивки на компрометирани Mac.

Как се осъществява веригата за заразяване със скрит сухар

Атаката започва с доставка на фишинг имейл, който изглежда съдържа новини, свързани с криптовалута, често представени като препратено съобщение от добре познат крипто инфлуенсър, за да му се придаде доверие. Имейлът включва връзка, за която се предполага, че води до PDF файл с важна информация, но всъщност насочва жертвата към домейн, контролиран от нападателите, delphidigital.org.

Изследователите са забелязали, че URL адресът понастоящем хоства безобидна версия на документ за биткойн ETF, с променящи се заглавия, въпреки че понякога води до първия етап на опасен пакет приложения, озаглавен Скритият риск зад нов скок на Bitcoin Price.app.

За тази кампания актьорът на заплахата използва законна академична статия от Тексаския университет като маскировка. Първият етап от атаката включва приложение с капкомер, подписано и нотариално заверено под валиден идентификатор на разработчик на Apple, „Avantis Regtech Private Limited (2S8XHJ7948)“, който Apple оттогава отмени.

Веднъж изпълнен, капкият изтегля примамлив PDF от връзка в Google Диск и го отваря в програмата за преглед на PDF файлове по подразбиране, за да държи жертвата разсеяна. Междувременно следващият етап от атаката е тайно изтеглен от matuaner.com. Трябва да се отбележи, че нападателите са променили файла Info.plist на приложението, за да разрешат несигурни HTTP връзки към техния домейн, ефективно заобикаляйки протоколите за сигурност на транспорта на Apple на Apple.

Нов механизъм за устойчивост, използван от скрития риск

Полезният товар от втория етап, наречен „растеж“, е x86_64 Mach-O двоичен файл, който работи както на Intel, така и на Apple Silicon устройства, оборудвани с рамката за емулация Rosetta. Той гарантира постоянство чрез модифициране на скрития .zshenv конфигурационен файл в домашната директория на потребителя, който се зарежда по време на Zsh сесии.

За да потвърди успешното заразяване и да поддържа устойчивостта, злонамереният софтуер създава скрит „тъч файл“ в директорията /tmp/, който помага да се запази полезният товар активен дори след рестартиране или потребителско влизане. Тази техника му позволява да заобиколи macOS 13 и по-нови системи за откриване на постоянство, които обикновено предупреждават потребителите, когато са инсталирани нови LaunchAgents. Като заразява системата със злонамерен Zshenv файл, зловредният софтуер установява по-силна форма на устойчивост. Въпреки че този метод не е съвсем нов, това е първият път, когато изследователите го виждат използван при атаки на живо от автори на зловреден софтуер.

Веднъж закрепен в системата, задната вратичка се свързва със сървъра за командване и управление (C2), проверявайки за нови команди на всеки 60 секунди. Низът на потребителския агент, който използва, е свързан с предишни атаки, приписвани на BlueNoroff през 2023 г. Наблюдаваните команди включват изтегляне и изпълнение на допълнителни полезни натоварвания, изпълнение на команди на обвивката за промяна или кражба на файлове или пълно спиране на процеса.

Експертите отбелязват, че кампанията Hidden Risk е била активна през последните 12 месеца, като е използвала по-директен фишинг подход, а не типичната стратегия за „подстригване“ в социалните медии, наблюдавана при други севернокорейски хакерски операции. Изследователите също така посочват постоянната способност на BlueNoroff да защитава нови акаунти на разработчици на Apple и да нотариално заверява техните полезни натоварвания, което им позволява да заобикалят защитите на macOS Gatekeeper.