Hidden Risk Malware

En ny kampagne fra den nordkoreanske trusselgruppe BlueNoroff fokuserer på kryptovaluta-virksomheder ved at bruge en sofistikeret multi-stage malware rettet mod macOS-systemer. Kampagnen, der af forskere kaldes den skjulte risiko, lokker ofre med e-mails, der indeholder opdigtede nyheder om den seneste udvikling på kryptovalutamarkedet. Den malware, der er involveret i disse angreb, anvender en innovativ persistensteknik på macOS, designet til at forblive uopdaget af de seneste systemopdateringer og effektivt omgå sikkerhedsadvarsler.

BlueNoroff er en cyberkriminalitetsgruppe, der er berygtet for tyveri af kryptovaluta og har tidligere været målrettet mod macOS-systemer. I tidligere angreb brugte de en nyttelast kendt som ObjCShellz, som gjorde det muligt for dem at etablere eksterne skaller på kompromitterede Mac'er.

Hvordan den skjulte rusk-infektionskæde udføres

Angrebet starter med leveringen af en phishing-e-mail, der ser ud til at indeholde cryptocurrency-relaterede nyheder, ofte præsenteret som en videresendt besked fra en velkendt crypto influencer for at give den troværdighed. E-mailen indeholder et link, der angiveligt fører til en PDF med vigtig information, men den dirigerer faktisk offeret til et domæne, der kontrolleres af angriberne, delphidigital.org.

Forskere har observeret, at URL'en i øjeblikket er vært for en harmløs version af et Bitcoin ETF-dokument med skiftende titler, selvom det til tider fører til den første fase af en usikker applikationspakke med titlen Hidden Risk Behind New Surge of Bitcoin Price.app.

Til denne kampagne brugte trusselsaktøren et legitimt akademisk papir fra University of Texas som en forklædning. Den første fase af angrebet involverer en dropper-applikation, underskrevet og notariseret under et gyldigt Apple-udvikler-id, 'Avantis Regtech Private Limited (2S8XHJ7948),' som Apple siden har tilbagekaldt.

Når den er udført, downloader dropperen en lokke-PDF fra et Google Drev-link og åbner den i standard PDF-fremviseren for at holde offeret distraheret. I mellemtiden er den næste fase af angrebet hemmeligt downloadet fra matuaner.com. Angriberne har især ændret appens Info.plist-fil for at tillade usikre HTTP-forbindelser til deres domæne, hvilket effektivt omgår Apples App Transport Security-protokoller.

En ny persistensmekanisme, der udnyttes af den skjulte risiko

Det andet trins nyttelast, kaldet 'vækst', er en x86_64 Mach-O binær, der fungerer på både Intel og Apple Silicon-enhederne udstyret med Rosetta-emuleringsrammerne. Det sikrer vedholdenhed ved at ændre den skjulte .zshenv-konfigurationsfil i brugerens hjemmemappe, som indlæses under Zsh-sessioner.

For at bekræfte vellykket infektion og opretholde persistens opretter malwaren en skjult 'touch-fil' i /tmp/-mappen, som hjælper med at holde nyttelasten aktiv, selv efter genstart eller brugerlogin. Denne teknik gør det muligt for den at omgå macOS 13 og nyere's persistensdetektionssystemer, som typisk advarer brugere, når nye LaunchAgents er installeret. Ved at inficere systemet med en ondsindet Zshenv-fil etablerer malwaren en stærkere form for persistens. Selvom denne metode ikke er helt ny, er det første gang, forskere har set den brugt i live-angreb fra malware-forfattere.

Når bagdøren først er forankret i systemet, forbindes den til Command-and-Control-serveren (C2) og tjekker for nye kommandoer hvert 60. sekund. Den bruger-agent streng, den anvender, er blevet forbundet med tidligere angreb tilskrevet BlueNoroff i 2023. De observerede kommandoer omfatter downloading og udførelse af yderligere nyttelaster, kørsel af shell-kommandoer for at ændre eller stjæle filer eller helt standse processen.

Eksperter bemærker, at Hidden Risk-kampagnen har været aktiv i de sidste 12 måneder, idet den har taget en mere direkte phishing-tilgang frem for den typiske "grooming"-strategi på sociale medier, som ses i andre nordkoreanske hackeroperationer. Forskere påpeger også BlueNoroffs fortsatte evne til at sikre nye Apple-udviklerkonti og få deres nyttelast notariseret, hvilket giver dem mulighed for at omgå macOS Gatekeeper-beskyttelse.