Hidden Risk Malware

یک کمپین جدید توسط گروه تهدید کره شمالی BlueNoroff با استفاده از یک بدافزار پیچیده چند مرحله‌ای که سیستم‌های macOS را هدف قرار می‌دهد، بر کسب‌وکارهای ارزهای دیجیتال تمرکز دارد. این کمپین که توسط محققان به عنوان ریسک پنهان شناخته می‌شود، قربانیان را با ایمیل‌هایی که حاوی اخبار ساختگی درباره تحولات اخیر در بازار ارزهای دیجیتال است، جذب می‌کند. بدافزاری که در این حملات دخیل است از یک تکنیک پایداری ابتکاری در macOS استفاده می‌کند که به گونه‌ای طراحی شده است که توسط آخرین به‌روزرسانی‌های سیستم شناسایی نشود و به طور موثر هشدارهای امنیتی را دور بزند.

BlueNoroff یک گروه جرایم سایبری است که به سرقت ارزهای دیجیتال بدنام است و قبلاً سیستم‌های macOS را هدف قرار داده است. در حملات گذشته، آنها از یک payload به نام ObjCSshellz استفاده می کردند که به آنها اجازه می داد پوسته های راه دور را روی مک های در معرض خطر ایجاد کنند.

چگونه زنجیره عفونت سوخاری پنهان انجام می شود

این حمله با تحویل یک ایمیل فیشینگ آغاز می‌شود که به نظر می‌رسد حاوی اخبار مربوط به ارزهای دیجیتال است که اغلب به‌عنوان یک پیام ارسال‌شده از سوی یک تأثیرگذار رمزنگاری معروف برای اعتبار بخشیدن به آن ارائه می‌شود. این ایمیل شامل پیوندی است که ظاهراً به یک PDF با اطلاعات مهم منتهی می شود، اما در واقع قربانی را به دامنه ای هدایت می کند که توسط مهاجمان کنترل می شود، delphidigital.org.

محققان مشاهده کرده‌اند که URL در حال حاضر میزبان یک نسخه بی‌ضرر از یک سند ETF بیت‌کوین است، با تغییر عناوین، اگرچه گاهی اوقات به مرحله اول یک بسته نرم افزاری ناامن با عنوان ریسک پنهان در پشت موج جدید قیمت بیت کوین منجر می‌شود.

برای این کمپین، بازیگر تهدید از یک مقاله دانشگاهی معتبر از دانشگاه تگزاس به عنوان لباس مبدل استفاده کرد. مرحله اول حمله شامل یک برنامه قطره چکانی است که تحت یک شناسه معتبر توسعه دهنده اپل، «Avantis Regtech Private Limited (2S8XHJ7948») امضا و تأیید شده است، که اپل از آن زمان آن را لغو کرده است.

پس از اجرا، قطره چکان یک PDF فریبنده را از پیوند Google Drive دانلود می کند و آن را در نمایشگر PDF پیش فرض باز می کند تا حواس قربانی را پرت نگه دارد. در همین حال مرحله بعدی حمله به صورت مخفیانه از سایت matuaner.com دانلود می شود. قابل ذکر است، مهاجمان فایل Info.plist برنامه را تغییر داده اند تا اتصالات HTTP ناامن به دامنه خود را مجاز کنند و عملاً پروتکل های امنیتی حمل و نقل برنامه اپل را دور بزنند.

یک مکانیسم پایداری جدید که توسط ریسک پنهان مورد بهره برداری قرار گرفته است

محموله مرحله دوم، به نام «رشد»، یک باینری x86_64 Mach-O است که هم بر روی دستگاه‌های سیلیکون اینتل و اپل مجهز به چارچوب شبیه‌سازی روزتا کار می‌کند. با اصلاح فایل پیکربندی .zshenv پنهان در فهرست اصلی کاربر، که در طول جلسات Zsh بارگیری می شود، ماندگاری را تضمین می کند.

برای تایید عفونت موفقیت آمیز و حفظ پایداری، بدافزار یک "فایل لمسی" پنهان در فهرست /tmp/ ایجاد می کند که به فعال نگه داشتن محموله حتی پس از راه اندازی مجدد یا ورود کاربر کمک می کند. این تکنیک به آن اجازه می‌دهد تا سیستم‌های تشخیص پایداری macOS 13 و نسخه‌های بعدی را که معمولاً هنگام نصب LaunchAgents جدید به کاربران هشدار می‌دهند، دور بزند. با آلوده کردن سیستم به یک فایل مخرب Zshenv، بدافزار شکل قوی تری از پایداری ایجاد می کند. اگرچه این روش کاملاً جدید نیست، اما اولین بار است که محققان استفاده از آن را در حملات زنده توسط نویسندگان بدافزار مشاهده می کنند.

پس از استقرار در سیستم، درب پشتی به سرور Command-and-Control (C2) متصل می شود و هر 60 ثانیه دستورات جدید را بررسی می کند. رشته عامل کاربر که از آن استفاده می‌کند با حملات قبلی منتسب به BlueNoroff در سال 2023 مرتبط بوده است. دستورات مشاهده شده شامل دانلود و اجرای بارهای اضافی، اجرای دستورات پوسته برای تغییر یا سرقت فایل‌ها یا توقف کامل فرآیند است.

کارشناسان خاطرنشان می کنند که کمپین خطر پنهان در 12 ماه گذشته فعال بوده است و از رویکرد فیشینگ مستقیم تری به جای استراتژی معمولی "آرایش" رسانه های اجتماعی که در سایر عملیات هکرهای کره شمالی دیده می شود، فعال بوده است. محققان همچنین به توانایی مداوم BlueNoroff برای ایمن کردن حساب‌های توسعه‌دهندگان جدید اپل و دریافت محضری‌های محضری اشاره می‌کنند که به آن‌ها اجازه می‌دهد از حفاظت‌های macOS Gatekeeper دور بزنند.