Hidden Risk Malware

Μια νέα καμπάνια της βορειοκορεατικής ομάδας απειλών BlueNoroff εστιάζει σε επιχειρήσεις κρυπτονομισμάτων, χρησιμοποιώντας ένα εξελιγμένο κακόβουλο λογισμικό πολλαπλών σταδίων που στοχεύει συστήματα macOS. Η καμπάνια, που ονομάστηκε κρυφός κίνδυνος από τους ερευνητές, δελεάζει τα θύματα με email που περιέχουν κατασκευασμένες ειδήσεις σχετικά με τις πρόσφατες εξελίξεις στην αγορά κρυπτονομισμάτων. Το κακόβουλο λογισμικό που εμπλέκεται σε αυτές τις επιθέσεις χρησιμοποιεί μια καινοτόμο τεχνική επιμονής στο macOS, που έχει σχεδιαστεί για να μην εντοπίζεται από τις πιο πρόσφατες ενημερώσεις συστήματος, παρακάμπτοντας ουσιαστικά τις ειδοποιήσεις ασφαλείας.

Η BlueNoroff είναι μια ομάδα εγκλήματος στον κυβερνοχώρο, γνωστή για κλοπές κρυπτονομισμάτων και στο παρελθόν είχε στοχεύσει συστήματα macOS. Σε προηγούμενες επιθέσεις, χρησιμοποιούσαν ένα ωφέλιμο φορτίο γνωστό ως ObjCSshellz, το οποίο τους επέτρεπε να δημιουργήσουν απομακρυσμένα κελύφη σε παραβιασμένους Mac.

Πώς εκτελείται η αλυσίδα μόλυνσης από το κρυμμένο παξιμάδι

Η επίθεση ξεκινά με την παράδοση ενός ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος που φαίνεται να περιέχει ειδήσεις που σχετίζονται με κρυπτονομίσματα, που συχνά παρουσιάζονται ως προωθημένο μήνυμα από έναν γνωστό παράγοντα επιρροής κρυπτογράφησης για να του προσδώσει αξιοπιστία. Το email περιλαμβάνει έναν σύνδεσμο, που υποτίθεται ότι οδηγεί σε ένα PDF με σημαντικές πληροφορίες, αλλά στην πραγματικότητα κατευθύνει το θύμα σε έναν τομέα που ελέγχεται από τους εισβολείς, το delphidigital.org.

Οι ερευνητές παρατήρησαν ότι η διεύθυνση URL αυτή τη στιγμή φιλοξενεί μια αβλαβή έκδοση ενός εγγράφου Bitcoin ETF, με μεταβαλλόμενους τίτλους, αν και μερικές φορές οδηγεί στο πρώτο στάδιο ενός μη ασφαλούς πακέτου εφαρμογών με τίτλο Hidden Risk Behind New Surge of Bitcoin Price.app.

Για αυτήν την εκστρατεία, ο ηθοποιός των απειλών χρησιμοποίησε ως μεταμφίεση μια νόμιμη ακαδημαϊκή εργασία από το Πανεπιστήμιο του Τέξας. Το πρώτο στάδιο της επίθεσης περιλαμβάνει μια εφαρμογή dropper, υπογεγραμμένη και επικυρωμένη με έγκυρο αναγνωριστικό προγραμματιστή της Apple, «Avantis Regtech Private Limited (2S8XHJ7948),» την οποία η Apple έκτοτε έχει ανακαλέσει.

Μόλις εκτελεστεί, το σταγονόμετρο κατεβάζει ένα PDF decoy από έναν σύνδεσμο του Google Drive και το ανοίγει στο προεπιλεγμένο πρόγραμμα προβολής PDF για να αποσπά την προσοχή του θύματος. Εν τω μεταξύ, το επόμενο στάδιο της επίθεσης κατεβάζεται κρυφά από το matuaner.com. Συγκεκριμένα, οι εισβολείς έχουν αλλάξει το αρχείο Info.plist της εφαρμογής για να επιτρέψουν μη ασφαλείς συνδέσεις HTTP στον τομέα τους, παρακάμπτοντας ουσιαστικά τα πρωτόκολλα ασφαλείας μεταφοράς εφαρμογών της Apple.

Ένας νέος μηχανισμός επιμονής που εκμεταλλεύεται ο κρυμμένος κίνδυνος

Το ωφέλιμο φορτίο δεύτερου σταδίου, που ονομάζεται «ανάπτυξη», είναι ένα δυαδικό x86_64 Mach-O που λειτουργεί τόσο σε συσκευές Intel όσο και σε συσκευές Apple Silicon που είναι εξοπλισμένες με το πλαίσιο εξομοίωσης Rosetta. Εξασφαλίζει την επιμονή τροποποιώντας το κρυφό αρχείο διαμόρφωσης .zshenv στον αρχικό κατάλογο του χρήστη, το οποίο φορτώνεται κατά τη διάρκεια των συνεδριών Zsh.

Για να επιβεβαιώσει την επιτυχή μόλυνση και να διατηρήσει την επιμονή, το κακόβουλο λογισμικό δημιουργεί ένα κρυφό «αρχείο αφής» στον κατάλογο /tmp/, το οποίο βοηθά να διατηρείται ενεργό το ωφέλιμο φορτίο ακόμα και μετά από επανεκκινήσεις ή συνδέσεις χρηστών. Αυτή η τεχνική του επιτρέπει να παρακάμψει τα συστήματα ανίχνευσης επιμονής του macOS 13 και μεταγενέστερων, τα οποία συνήθως ειδοποιούν τους χρήστες όταν εγκαθίστανται νέα LaunchAgents. Μολύνοντας το σύστημα με ένα κακόβουλο αρχείο Zshenv, το κακόβουλο λογισμικό δημιουργεί μια ισχυρότερη μορφή επιμονής. Αν και αυτή η μέθοδος δεν είναι εντελώς νέα, είναι η πρώτη φορά που οι ερευνητές τη βλέπουν να χρησιμοποιείται σε ζωντανές επιθέσεις από δημιουργούς κακόβουλου λογισμικού.

Μόλις παγιωθεί στο σύστημα, η κερκόπορτα συνδέεται με τον διακομιστή Command-and-Control (C2), ελέγχοντας για νέες εντολές κάθε 60 δευτερόλεπτα. Η συμβολοσειρά user-agent που χρησιμοποιεί έχει συσχετιστεί με προηγούμενες επιθέσεις που αποδίδονται στο BlueNoroff το 2023. Οι εντολές που παρατηρήθηκαν περιλαμβάνουν λήψη και εκτέλεση πρόσθετων ωφέλιμων φορτίων, εκτέλεση εντολών φλοιού για αλλαγή ή κλοπή αρχείων ή διακοπή της διαδικασίας εντελώς.

Οι ειδικοί σημειώνουν ότι η εκστρατεία Hidden Risk ήταν ενεργή τους τελευταίους 12 μήνες, ακολουθώντας μια πιο άμεση προσέγγιση ηλεκτρονικού ψαρέματος αντί της τυπικής στρατηγικής «περιποίησης» των μέσων κοινωνικής δικτύωσης που παρατηρείται σε άλλες επιχειρήσεις χάκερ της Βόρειας Κορέας. Οι ερευνητές επισημαίνουν επίσης τη συνεχή ικανότητα του BlueNoroff να προστατεύει τους νέους λογαριασμούς προγραμματιστών της Apple και να επικυρώνει τα ωφέλιμα φορτία τους, επιτρέποντάς τους να παρακάμπτουν τις προστασίες του macOS Gatekeeper.