Hidden Risk Malware

Nová kampaň severokorejské skupiny hrozeb BlueNoroff se zaměřuje na kryptoměnové obchody pomocí sofistikovaného vícefázového malwaru zaměřeného na systémy macOS. Kampaň, kterou výzkumníci nazvali Skryté riziko, láká oběti na e-maily, které obsahují vymyšlené zprávy o nedávném vývoji na trhu s kryptoměnami. Malware zapojený do těchto útoků využívá v systému macOS inovativní techniku persistence, která byla navržena tak, aby nebyla odhalena nejnovějšími aktualizacemi systému a účinně obcházela bezpečnostní výstrahy.

BlueNoroff je skupina zabývající se kyberzločinem, která je známá krádežemi kryptoměn a již dříve se zaměřovala na systémy macOS. V minulých útocích použili užitečné zatížení známé jako ObjCShellz, které jim umožnilo vytvořit vzdálené shelly na kompromitovaných počítačích Mac.

Jak se provádí skrytý infekční řetězec

Útok začíná doručením phishingového e-mailu, který zdánlivě obsahuje zprávy související s kryptoměnami, často prezentované jako přeposlaná zpráva od známého ovlivňovače kryptoměn, aby mu dodal důvěryhodnost. E-mail obsahuje odkaz, který údajně vede k PDF s důležitými informacemi, ale ve skutečnosti nasměruje oběť na doménu ovládanou útočníky, delphidigital.org.

Výzkumníci zjistili, že adresa URL v současné době hostí neškodnou verzi dokumentu Bitcoin ETF s měnícími se názvy, i když občas vede k první fázi balíčku nebezpečných aplikací s názvem Skryté riziko za novým nárůstem Bitcoin Price.app.

Pro tuto kampaň použil aktér hrozby legitimní akademický dokument z University of Texas jako převlek. První fáze útoku zahrnuje aplikaci dropper, podepsanou a notářsky ověřenou pod platným Apple Developer ID „Avantis Regtech Private Limited (2S8XHJ7948), které Apple mezitím odvolal.

Po spuštění si kapátko stáhne návnadu PDF z odkazu na Disk Google a otevře jej ve výchozím prohlížeči PDF, aby oběť nerušila. Mezitím je další fáze útoku tajně stažena z matuaner.com. Je pozoruhodné, že útočníci upravili soubor Info.plist aplikace tak, aby umožnil nezabezpečená HTTP připojení k jejich doméně, čímž účinně obešli protokoly Apple App Transport Security.

Nový mechanismus vytrvalosti využívaný skrytým rizikem

Užitná zátěž druhé fáze, nazvaná „růst“, je binární procesor x86_64 Mach-O, který funguje na zařízeních Intel i Apple Silicon vybavených emulačním rámcem Rosetta. Zajišťuje stálost úpravou skrytého konfiguračního souboru .zshenv v domovském adresáři uživatele, který se načítá během relací Zsh.

Pro potvrzení úspěšné infekce a udržení perzistence vytvoří malware skrytý „dotykový soubor“ v adresáři /tmp/, který pomáhá udržovat datovou část aktivní i po restartu nebo přihlášení uživatele. Tato technika mu umožňuje obejít macOS 13 a novější systémy detekce persistence, které obvykle upozorňují uživatele na instalaci nových LaunchAgentů. Infikováním systému škodlivým souborem Zshenv malware vytváří silnější formu perzistence. Ačkoli tato metoda není úplně nová, je to poprvé, co ji vědci viděli při živých útocích autorů malwaru.

Jakmile se backdoor usadí v systému, připojí se k serveru Command-and-Control (C2) a každých 60 sekund kontroluje nové příkazy. Řetězec user-agent, který používá, byl spojen s předchozími útoky připisovanými BlueNoroff v roce 2023. Mezi pozorované příkazy patří stahování a spouštění dalších datových částí, spouštění příkazů shellu pro změnu nebo krádež souborů nebo úplné zastavení procesu.

Odborníci poznamenávají, že kampaň Skrytá rizika byla aktivní posledních 12 měsíců a zvolila přímější phishingový přístup než typickou strategii „groomingu“ sociálních médií, kterou lze vidět v jiných severokorejských hackerských operacích. Výzkumníci také poukazují na pokračující schopnost BlueNoroff zabezpečit nové účty vývojářů Apple a nechat si notářsky ověřit jejich užitečné zatížení, což jim umožňuje obejít ochranu macOS Gatekeeper.