Hidden Risk Malware
Nova kampanja sjevernokorejske skupine prijetnji BlueNoroff usredotočena je na poslovanje s kriptovalutama, koristeći sofisticirani zlonamjerni softver u više faza koji cilja macOS sustave. Kampanju koju su istraživači nazvali Skriveni rizik, kampanja mami žrtve e-poštom koja sadrži izmišljene vijesti o nedavnim događanjima na tržištu kriptovaluta. Zlonamjerni softver uključen u ove napade koristi inovativnu tehniku postojanosti na macOS-u, dizajniranu da ostane neotkrivena najnovijim ažuriranjima sustava, učinkovito zaobilazeći sigurnosna upozorenja.
BlueNoroff je kibernetička kriminalna skupina ozloglašena po krađi kriptovaluta i ranije je ciljala na macOS sustave. U prošlim napadima koristili su korisni teret poznat kao ObjCShellz, koji im je omogućio uspostavljanje udaljenih ljuski na kompromitiranim Macovima.
Kako se provodi lanac zaraze skrivenim dvopekom
Napad započinje isporukom phishing e-poruke za koju se čini da sadrži vijesti vezane uz kriptovalute, često predstavljene kao proslijeđena poruka od poznatog kripto influencera kako bi joj se dao kredibilitet. E-pošta uključuje poveznicu koja navodno vodi do PDF-a s važnim informacijama, ali zapravo usmjerava žrtvu na domenu koju kontroliraju napadači, delphidigital.org.
Istraživači su primijetili da URL trenutno sadrži bezopasnu verziju Bitcoin ETF dokumenta, s promjenjivim naslovima, iako povremeno vodi do prve faze nesigurnog paketa aplikacija pod nazivom Hidden Risk Behind New Surge of Bitcoin Price.app.
Za ovu kampanju akter prijetnje koristio se legitimnim akademskim radom sa Sveučilišta u Teksasu kao maskom. Prva faza napada uključuje dropper aplikaciju, potpisanu i ovjerenu pod važećim Apple ID-om programera, 'Avantis Regtech Private Limited (2S8XHJ7948)' koji je Apple u međuvremenu opozvao.
Nakon što se izvrši, dropper preuzima PDF mamac s veze Google Drivea i otvara ga u zadanom pregledniku PDF-a kako bi žrtvi skrenuo pažnju. U međuvremenu, sljedeća faza napada tajno se preuzima s matuaner.com. Naime, napadači su izmijenili datoteku Info.plist aplikacije kako bi dopustili nesigurne HTTP veze na njihovu domenu, učinkovito zaobilazeći Appleove App Transport Security protokole.
Novi mehanizam upornosti iskorišten skrivenim rizikom
Korisni teret drugog stupnja, nazvan 'rast', je x86_64 Mach-O binarna datoteka koja radi i na Intelovim i na Apple Silicon uređajima opremljenim okvirom za emulaciju Rosetta. Osigurava postojanost mijenjanjem skrivene konfiguracijske datoteke .zshenv u korisničkom početnom direktoriju, koja se učitava tijekom Zsh sesija.
Kako bi potvrdio uspješnu infekciju i održao postojanost, zlonamjerni softver stvara skrivenu 'dodirnu datoteku' u direktoriju /tmp/, koja pomaže da sadržaj bude aktivan čak i nakon ponovnog pokretanja sustava ili prijave korisnika. Ova tehnika omogućuje zaobilaženje macOS 13 i novijih sustava za otkrivanje postojanosti, koji obično upozoravaju korisnike kada se instaliraju novi LaunchAgenti. Inficiranjem sustava zlonamjernom datotekom Zshenv, zlonamjerni softver uspostavlja jači oblik postojanosti. Iako ova metoda nije potpuno nova, ovo je prvi put da su je istraživači vidjeli da se koristi u napadima uživo od strane autora zlonamjernog softvera.
Nakon što se učvrsti u sustavu, backdoor se povezuje s Command-and-Control (C2) poslužiteljem, provjeravajući nove naredbe svakih 60 sekundi. Niz korisničkog agenta koji koristi povezan je s prethodnim napadima pripisanim BlueNoroffu 2023. Opažene naredbe uključuju preuzimanje i izvršavanje dodatnih korisnih opterećenja, pokretanje naredbi ljuske za promjenu ili krađu datoteka ili potpuno zaustavljanje procesa.
Stručnjaci primjećuju da je kampanja Skriveni rizik aktivna posljednjih 12 mjeseci, koristeći izravniji pristup krađi identiteta, a ne tipičnu strategiju 'dotjerivanja' društvenih medija viđenu u drugim sjevernokorejskim hakerskim operacijama. Istraživači također ističu BlueNoroffovu stalnu sposobnost da osigura nove Apple račune razvojnih programera i ovjeri njihov sadržaj kod javnog bilježnika, što im omogućuje da zaobiđu zaštitu macOS Gatekeeper.
