Hidden Risk Malware

מסע פרסום חדש של קבוצת האיומים הצפון קוריאנית BlueNoroff מתמקד בעסקי מטבעות קריפטוגרפיים, תוך שימוש בתוכנה זדונית רב-שלבית מתוחכמת המכוונת למערכות macOS. הקמפיין שזכה לכינוי הסיכון הנסתר על ידי החוקרים, מפתה קורבנות באמצעות מיילים המכילים חדשות מפוברקות על ההתפתחויות האחרונות בשוק מטבעות הקריפטו. התוכנה הזדונית המעורבת בהתקפות אלו משתמשת בטכניקת התמדה חדשנית ב-macOS, שנועדה שלא להתגלות על ידי עדכוני המערכת האחרונים, ולעקוף למעשה התראות אבטחה.

BlueNoroff היא קבוצת פשעי סייבר הידועה לשמצה בגניבת מטבעות קריפטוגרפיים, וכיוונה בעבר למערכות macOS. בהתקפות קודמות, הם השתמשו במטען המכונה ObjCShellz, מה שאפשר להם להקים קונכיות מרוחקות על מחשבי Mac שנפגעו.

כיצד מתבצעת שרשרת ההדבקה הנסתרת של ריסוק

המתקפה מתחילה במשלוח של הודעת דיוג שנראית כמכילה חדשות הקשורות למטבעות קריפטוגרפיים, המוצגת לעתים קרובות כהודעה מועברת ממשפיע קריפטו ידוע כדי להעניק לו אמינות. האימייל כולל קישור, שמוביל כביכול ל-PDF עם מידע חשוב, אך הוא למעשה מפנה את הקורבן לדומיין שנשלט על ידי התוקפים, delphidigital.org.

חוקרים הבחינו שכתובת ה-URL מארחת כיום גרסה לא מזיקה של מסמך ETF של ביטקוין, עם כותרות משתנות, אם כי לעיתים היא מובילה לשלב הראשון של חבילת יישומים לא בטוחה בשם Hidden Risk Behind New Surge of Bitcoin Price.app.

עבור הקמפיין הזה, שחקן האיום השתמש במאמר אקדמי לגיטימי מאוניברסיטת טקסס כמסווה. השלב הראשון של המתקפה כולל אפליקציית dropper, חתומה ואושרה על ידי נוטריון תחת מזהה מפתח תקף של אפל, 'Avantis Regtech Private Limited (2S8XHJ7948),' שאפל ביטלה מאז.

לאחר ההוצאה להורג, הטפטף מוריד קובץ PDF מטעה מקישור של Google Drive ופותח אותו במציג PDF ברירת המחדל כדי להסיח את דעתו של הקורבן. בינתיים, השלב הבא של המתקפה ירד בחשאי מ-matuaner.com. יש לציין שהתוקפים שינו את קובץ ה-Info.plist של האפליקציה כדי לאפשר חיבורי HTTP לא מאובטחים לדומיין שלהם, ולמעשה עוקפים את פרוטוקולי ה-App Transport Security Security של אפל.

מנגנון התמדה חדש שנוצל על ידי הסיכון הנסתר

מטען השלב השני, בשם 'צמיחה', הוא קובץ x86_64 Mach-O בינארי הפועל הן על אינטל והן על מכשירי Apple Silicon המצוידים במסגרת האמולציה של Rosetta. זה מבטיח התמדה על ידי שינוי קובץ התצורה הנסתר .zshenv בספריית הבית של המשתמש, שנטען במהלך הפעלות Zsh.

כדי לאשר הדבקה מוצלחת ולשמור על התמדה, התוכנה הזדונית יוצרת 'קובץ מגע' נסתר בספריית /tmp/, מה שעוזר לשמור על המטען פעיל גם לאחר אתחול מחדש או כניסות משתמש. טכניקה זו מאפשרת לו לעקוף את מערכות זיהוי ההתמדה של macOS 13 ואילך, שבדרך כלל מתריעות למשתמשים כאשר LaunchAgents חדשים מותקנים. על ידי הדבקה של המערכת בקובץ Zshenv זדוני, התוכנה הזדונית מייצרת צורה חזקה יותר של התמדה. למרות ששיטה זו אינה חדשה לגמרי, זו הפעם הראשונה שחוקרים רואים אותה מופעלת בהתקפות חיות של מחברי תוכנות זדוניות.

לאחר התבססות במערכת, הדלת האחורית מתחברת לשרת Command-and-Control (C2), בודק פקודות חדשות כל 60 שניות. מחרוזת המשתמש-סוכן שהיא משתמשת בה נקשרה להתקפות קודמות שיוחסו ל-BlueNoroff בשנת 2023. הפקודות שנצפו כוללות הורדה וביצוע של מטענים נוספים, הפעלת פקודות מעטפת לשינוי או גניבת קבצים, או עצירת התהליך לחלוטין.

מומחים מציינים כי מסע הפרסום Hidden Risk היה פעיל ב-12 החודשים האחרונים, תוך שהוא נוקט בגישת פישינג ישירה יותר מאשר באסטרטגיית ה'טיפוח' הטיפוסית של המדיה החברתית שנראתה בפעולות האקרים אחרות בצפון קוריאה. החוקרים גם מציינים את היכולת המתמשכת של BlueNoroff לאבטח חשבונות מפתחים חדשים של אפל ולקבל אישור נוטריוני של המטענים שלהם, מה שמאפשר להם לעקוף הגנות של macOS Gatekeeper.