Hidden Risk Malware

A BlueNoroff észak-koreai fenyegetettségi csoport új kampánya a kriptovaluta-üzletágakra összpontosít, egy kifinomult, többlépcsős malware-t használva, amely a macOS rendszereket célozza meg. A kutatók által Rejtett kockázatnak nevezett kampány olyan e-mailekkel csábítja az áldozatokat, amelyek koholt híreket tartalmaznak a kriptovaluta piac legújabb fejleményeiről. Az ezekben a támadásokban érintett rosszindulatú programok innovatív perzisztencia technikát alkalmaznak a macOS rendszeren, amelyet úgy terveztek, hogy a legújabb rendszerfrissítések észrevétlenül maradjanak, hatékonyan megkerülve a biztonsági figyelmeztetéseket.

A BlueNoroff egy kiberbűnözéssel foglalkozó csoport, amely a kriptovaluta-lopásokról híres, és korábban a macOS rendszereket célozta meg. A korábbi támadások során az ObjCShellz néven ismert hasznos terhet használták, amely lehetővé tette számukra, hogy távoli shelleket hozzanak létre a feltört Mac-eken.

Hogyan zajlik a rejtett kétszersült fertőzési lánc

A támadás egy adathalász e-mail kézbesítésével kezdődik, amely látszólag kriptovalutákkal kapcsolatos híreket tartalmaz, gyakran egy jól ismert kripto-befolyásolótól továbbított üzenetként jelenítik meg a hitelesség kölcsönzése érdekében. Az e-mail tartalmaz egy linket, amely állítólag fontos információkat tartalmazó PDF-hez vezet, de valójában a támadók által ellenőrzött domainre, a delphidigital.org-ra irányítja az áldozatot.

A kutatók megfigyelték, hogy az URL jelenleg egy Bitcoin ETF dokumentum ártalmatlan változatát tartalmazza, változó címekkel, bár időnként egy nem biztonságos alkalmazáscsomag első szakaszához vezet, melynek címe: Hidden Risk Behind New Surge of Bitcoin Price.app.

Ehhez a kampányhoz a fenyegetettség szereplője a Texasi Egyetem legitim tudományos dolgozatát használta álcázásként. A támadás első szakasza egy csepegtető alkalmazást tartalmaz, amelyet aláírtak és hitelesítettek egy érvényes Apple fejlesztői azonosítóval, „Avantis Regtech Private Limited (2S8XHJ7948”), amelyet az Apple azóta visszavont.

A végrehajtás után a cseppentő letölt egy csali-PDF-et a Google Drive-hivatkozásról, és megnyitja azt az alapértelmezett PDF-megjelenítőben, hogy elterelje az áldozat figyelmét. Eközben a támadás következő szakaszát titokban letöltik a matuaner.com oldalról. Nevezetesen, a támadók megváltoztatták az alkalmazás Info.plist fájlját, hogy lehetővé tegyék a nem biztonságos HTTP-kapcsolatokat a domainjükhöz, gyakorlatilag megkerülve az Apple App Transport Security protokolljait.

Újszerű tartóssági mechanizmus, amelyet a rejtett kockázat kihasznál

A „növekedés” névre keresztelt második szakasz hasznos adata egy x86_64 Mach-O bináris fájl, amely az Intel és a Rosetta emulációs keretrendszerrel felszerelt Apple Silicon eszközökön egyaránt működik. Az állandóságot a felhasználó saját könyvtárában található rejtett .zshenv konfigurációs fájl módosításával biztosítja, amely a Zsh munkamenetek során töltődik be.

A sikeres fertőzés megerősítése és a perzisztencia fenntartása érdekében a rosszindulatú program egy rejtett "érintőfájlt" hoz létre a /tmp/ könyvtárban, amely segít a rakomány aktív állapotban tartásában még újraindítás vagy felhasználói bejelentkezés után is. Ez a technika lehetővé teszi a macOS 13 és újabb perzisztenciaészlelési rendszerek megkerülését, amelyek általában figyelmeztetik a felhasználókat, ha új LaunchAgents telepítve vannak. A rendszer rosszindulatú Zshenv fájllal való megfertőzésével a kártevő a perzisztencia erősebb formáját hozza létre. Bár ez a módszer nem teljesen új, a kutatók most először látták, hogy rosszindulatú programok szerzői élő támadásokban alkalmazzák.

Miután beépült a rendszerbe, a hátsó ajtó csatlakozik a Command-and-Control (C2) szerverhez, és 60 másodpercenként ellenőrzi az új parancsokat. Az általa használt felhasználói ügynök karakterláncot a BlueNoroffnak tulajdonított korábbi támadásokhoz társították 2023-ban. A megfigyelt parancsok közé tartozik a további hasznos terhelések letöltése és végrehajtása, a shell parancsok futtatása a fájlok megváltoztatására vagy ellopására, vagy a folyamat teljes leállítása.

A szakértők megjegyzik, hogy a Hidden Risk kampány az elmúlt 12 hónapban aktív volt, és közvetlenebb adathalász megközelítést alkalmaz, nem pedig a közösségi média más észak-koreai hackerműveletei során tapasztalt tipikus „grooming” stratégiát. A kutatók rámutatnak arra is, hogy a BlueNoroff folyamatosan képes új Apple fejlesztői fiókokat biztosítani, és közjegyzői hitelesítést végezni, lehetővé téve számukra, hogy megkerüljék a macOS Gatekeeper védelmét.