Hidden Risk Malware

Una nova campanya del grup d'amenaces de Corea del Nord BlueNoroff se centra en les empreses de criptomoneda, utilitzant un sofisticat programari maliciós de diverses etapes dirigit a sistemes macOS. Anomenada pels investigadors com el risc ocult, la campanya atrau les víctimes amb correus electrònics que contenen notícies inventades sobre els últims avenços en el mercat de la criptomoneda. El programari maliciós implicat en aquests atacs empra una tècnica de persistència innovadora a macOS, dissenyada per no ser detectada per les últimes actualitzacions del sistema, evitant de manera efectiva les alertes de seguretat.

BlueNoroff és un grup de ciberdelinqüència conegut pel robatori de criptomoneda i anteriorment s'ha dirigit a sistemes macOS. En atacs anteriors, van utilitzar una càrrega útil coneguda com ObjCShellz, que els va permetre establir intèrprets d'ordres remots en Mac compromeses.

Com es porta a terme la cadena d'infecció de Rusk oculta

L'atac comença amb el lliurament d'un correu electrònic de pesca que sembla contenir notícies relacionades amb la criptomoneda, sovint presentada com un missatge reenviat d'un conegut influencer criptogràfic per donar-li credibilitat. El correu electrònic inclou un enllaç, suposadament que condueix a un PDF amb informació important, però en realitat dirigeix la víctima a un domini controlat pels atacants, delphidigital.org.

Els investigadors han observat que l'URL actualment allotja una versió inofensiva d'un document de Bitcoin ETF, amb títols canviants, tot i que de vegades condueix a la primera etapa d'un paquet d'aplicacions insegurs titulat Hidden Risk Behind New Surge of Bitcoin Price.app.

Per a aquesta campanya, l'actor d'amenaça va utilitzar un document acadèmic legítim de la Universitat de Texas com a disfressa. La primera etapa de l'atac implica una aplicació dropper, signada i certificada amb un ID de desenvolupador d'Apple vàlid, "Avantis Regtech Private Limited (2S8XHJ7948)," que Apple ha revocat des de llavors.

Un cop executat, el comptagotes baixa un PDF d'engany des d'un enllaç de Google Drive i l'obre al visualitzador de PDF predeterminat per mantenir la víctima distreta. Mentrestant, la següent etapa de l'atac es descarrega en secret de matuaner.com. En particular, els atacants han alterat el fitxer Info.plist de l'aplicació per permetre connexions HTTP insegures al seu domini, evitant efectivament els protocols de seguretat de transport d'Apple d'Apple.

Un nou mecanisme de persistència explotat pel risc ocult

La càrrega útil de la segona etapa, anomenada "creixement", és un binari x86_64 Mach-O que funciona tant en dispositius Intel com en Apple Silicon equipats amb el marc d'emulació Rosetta. Assegura la persistència modificant el fitxer de configuració .zshenv amagat al directori inicial de l'usuari, que es carrega durant les sessions Zsh.

Per confirmar la infecció correcta i mantenir la persistència, el programari maliciós crea un "fitxer tàctil" ocult al directori /tmp/, que ajuda a mantenir la càrrega útil activa fins i tot després de reiniciar o iniciar sessió d'usuari. Aquesta tècnica li permet evitar els sistemes de detecció de persistència de macOS 13 i posteriors, que normalment alerten els usuaris quan s'instal·len nous LaunchAgents. En infectar el sistema amb un fitxer Zshenv maliciós, el programari maliciós estableix una forma de persistència més forta. Tot i que aquest mètode no és del tot nou, és la primera vegada que els investigadors el veuen emprat en atacs en directe d'autors de programari maliciós.

Un cop consolidada al sistema, la porta posterior es connecta al servidor d'ordres i control (C2), comprovant si hi ha noves ordres cada 60 segons. La cadena d'agent d'usuari que utilitza s'ha associat amb atacs anteriors atribuïts a BlueNoroff l'any 2023. Les ordres observades inclouen la descàrrega i l'execució de càrregues útils addicionals, l'execució d'ordres de shell per alterar o robar fitxers o aturar el procés per complet.

Els experts assenyalen que la campanya Hidden Risk ha estat activa durant els darrers 12 mesos, adoptant un enfocament de pesca més directe en lloc de la típica estratègia de "preparació" de les xarxes socials que es veu en altres operacions de pirates informàtics de Corea del Nord. Els investigadors també assenyalen la capacitat continuada de BlueNoroff per assegurar nous comptes de desenvolupadors d'Apple i certificar les seves càrregues útils, cosa que els permet evitar les proteccions de macOS Gatekeeper.