Hidden Risk Malware

उत्तर कोरियाई ख़तरा समूह ब्लू नोरॉफ़ द्वारा एक नया अभियान क्रिप्टोकुरेंसी व्यवसायों पर ध्यान केंद्रित कर रहा है, जो macOS सिस्टम को लक्षित करने वाले एक परिष्कृत मल्टी-स्टेज मैलवेयर का उपयोग कर रहा है। शोधकर्ताओं द्वारा हिडन रिस्क नाम दिया गया यह अभियान पीड़ितों को ईमेल के ज़रिए लुभाता है जिसमें क्रिप्टोकुरेंसी बाज़ार में हाल ही में हुए विकास के बारे में मनगढ़ंत खबरें होती हैं। इन हमलों में शामिल मैलवेयर macOS पर एक अभिनव दृढ़ता तकनीक का उपयोग करता है, जिसे नवीनतम सिस्टम अपडेट द्वारा पता न लगाने के लिए डिज़ाइन किया गया है, जो प्रभावी रूप से सुरक्षा अलर्ट को दरकिनार कर देता है।

ब्लू नोरॉफ़ एक साइबर क्राइम समूह है जो क्रिप्टोकरेंसी चोरी के लिए कुख्यात है और पहले भी macOS सिस्टम को निशाना बना चुका है। पिछले हमलों में, उन्होंने ObjCShellz नामक पेलोड का इस्तेमाल किया, जिससे उन्हें समझौता किए गए Mac पर रिमोट शेल स्थापित करने की अनुमति मिली।

रस्क संक्रमण की छिपी हुई श्रृंखला कैसे चलती है

हमला एक फ़िशिंग ईमेल की डिलीवरी से शुरू होता है जिसमें क्रिप्टोकरंसी से जुड़ी खबरें होती हैं, जिसे अक्सर किसी जाने-माने क्रिप्टो इन्फ़्लुएंसर की ओर से फ़ॉरवर्ड किए गए संदेश के रूप में प्रस्तुत किया जाता है ताकि उसे विश्वसनीयता मिल सके। ईमेल में एक लिंक शामिल है, जो कथित तौर पर महत्वपूर्ण जानकारी वाले पीडीएफ़ पर ले जाता है, लेकिन यह वास्तव में पीड़ित को हमलावरों द्वारा नियंत्रित डोमेन, delphidigital.org पर ले जाता है।

शोधकर्ताओं ने पाया है कि यूआरएल वर्तमान में बिटकॉइन ईटीएफ दस्तावेज़ के एक हानिरहित संस्करण को होस्ट करता है, जिसमें शीर्षक बदलते रहते हैं, हालांकि कभी-कभी यह बिटकॉइन मूल्य के नए उछाल के पीछे छिपे जोखिम नामक असुरक्षित एप्लिकेशन बंडल के पहले चरण की ओर ले जाता है।

इस अभियान के लिए, धमकी देने वाले अभिनेता ने टेक्सास विश्वविद्यालय से एक वैध शैक्षणिक पेपर का इस्तेमाल छद्म रूप में किया। हमले के पहले चरण में एक ड्रॉपर एप्लिकेशन शामिल है, जो एक वैध Apple डेवलपर आईडी, 'अवंतिस रेगटेक प्राइवेट लिमिटेड (2S8XHJ7948) के तहत हस्ताक्षरित और नोटरीकृत है, जिसे Apple ने बाद में रद्द कर दिया है।

एक बार निष्पादित होने के बाद, ड्रॉपर Google Drive लिंक से एक नकली PDF डाउनलोड करता है और पीड़ित को विचलित रखने के लिए इसे डिफ़ॉल्ट PDF व्यूअर में खोलता है। इस बीच, हमले का अगला चरण matuaner.com से गुप्त रूप से डाउनलोड किया जाता है। उल्लेखनीय रूप से, हमलावरों ने ऐप की Info.plist फ़ाइल को बदल दिया है ताकि उनके डोमेन में असुरक्षित HTTP कनेक्शन की अनुमति मिल सके, जो प्रभावी रूप से Apple के ऐप ट्रांसपोर्ट सिक्योरिटी प्रोटोकॉल को दरकिनार कर देता है।

छिपे हुए जोखिम द्वारा शोषित एक नवीन दृढ़ता तंत्र

दूसरे चरण का पेलोड, जिसका नाम 'ग्रोथ' है, एक x86_64 Mach-O बाइनरी है जो रोसेटा इम्यूलेशन फ्रेमवर्क से लैस इंटेल और ऐप्पल सिलिकॉन डिवाइस दोनों पर काम करता है। यह उपयोगकर्ता की होम निर्देशिका में छिपी हुई .zshenv कॉन्फ़िगरेशन फ़ाइल को संशोधित करके दृढ़ता सुनिश्चित करता है, जो Zsh सत्रों के दौरान लोड होती है।

सफल संक्रमण की पुष्टि करने और दृढ़ता बनाए रखने के लिए, मैलवेयर /tmp/ निर्देशिका में एक छिपी हुई 'टच फ़ाइल' बनाता है, जो रीबूट या उपयोगकर्ता लॉगिन के बाद भी पेलोड को सक्रिय रखने में मदद करता है। यह तकनीक इसे macOS 13 और बाद के दृढ़ता पहचान प्रणालियों को बायपास करने की अनुमति देती है, जो आम तौर पर नए LaunchAgents इंस्टॉल होने पर उपयोगकर्ताओं को सचेत करती हैं। दुर्भावनापूर्ण Zshenv फ़ाइल के साथ सिस्टम को संक्रमित करके, मैलवेयर दृढ़ता का एक मजबूत रूप स्थापित करता है। हालाँकि यह तरीका पूरी तरह से नया नहीं है, लेकिन यह पहली बार है जब शोधकर्ताओं ने इसे मैलवेयर लेखकों द्वारा लाइव हमलों में नियोजित होते देखा है।

सिस्टम में घुसने के बाद, बैकडोर कमांड-एंड-कंट्रोल (C2) सर्वर से जुड़ जाता है, हर 60 सेकंड में नए कमांड की जाँच करता है। इसके द्वारा इस्तेमाल किया जाने वाला यूजर-एजेंट स्ट्रिंग 2023 में ब्लूनॉरॉफ़ के लिए जिम्मेदार पिछले हमलों से जुड़ा हुआ है। देखे गए कमांड में अतिरिक्त पेलोड को डाउनलोड करना और निष्पादित करना, फ़ाइलों को बदलने या चुराने के लिए शेल कमांड चलाना या प्रक्रिया को पूरी तरह से रोकना शामिल है।

विशेषज्ञों का कहना है कि हिडन रिस्क अभियान पिछले 12 महीनों से सक्रिय है, जो अन्य उत्तर कोरियाई हैकर ऑपरेशनों में देखी जाने वाली सामान्य सोशल मीडिया 'ग्रूमिंग' रणनीति के बजाय अधिक प्रत्यक्ष फ़िशिंग दृष्टिकोण अपना रहा है। शोधकर्ताओं ने ब्लूनॉरॉफ़ की नए ऐप्पल डेवलपर खातों को सुरक्षित करने और उनके पेलोड को नोटरीकृत करने की चल रही क्षमता की ओर भी इशारा किया है, जिससे उन्हें macOS गेटकीपर सुरक्षा को बायपास करने की अनुमति मिलती है।