Hidden Risk Malware

Una nuova campagna del gruppo di minacce nordcoreano BlueNoroff si sta concentrando sulle aziende di criptovaluta, utilizzando un sofisticato malware multi-fase che prende di mira i sistemi macOS. Soprannominata Hidden Risk dai ricercatori, la campagna attira le vittime con e-mail che contengono notizie inventate sugli sviluppi recenti nel mercato delle criptovalute. Il malware coinvolto in questi attacchi impiega un'innovativa tecnica di persistenza su macOS, progettata per passare inosservata dagli ultimi aggiornamenti di sistema, bypassando efficacemente gli avvisi di sicurezza.

BlueNoroff è un gruppo di criminalità informatica noto per il furto di criptovalute e in passato ha preso di mira i sistemi macOS. In attacchi passati, hanno utilizzato un payload noto come ObjCShellz, che ha consentito loro di stabilire shell remote su Mac compromessi.

Come si svolge la catena di infezione nascosta del biscotto

L'attacco inizia con la consegna di un'e-mail di phishing che sembra contenere notizie relative alle criptovalute, spesso presentata come un messaggio inoltrato da un noto influencer delle criptovalute per dargli credibilità. L'e-mail include un collegamento, che presumibilmente conduce a un PDF con informazioni importanti, ma in realtà indirizza la vittima a un dominio controllato dagli aggressori, delphidigital.org.

I ricercatori hanno osservato che l'URL attualmente ospita una versione innocua di un documento Bitcoin ETF, con titoli variabili, anche se a volte porta alla prima fase di un pacchetto di applicazioni non sicuro denominato Hidden Risk Behind New Surge of Bitcoin Price.app.

Per questa campagna, l'attore della minaccia ha utilizzato un documento accademico legittimo dell'Università del Texas come travestimento. La prima fase dell'attacco prevede un'applicazione dropper, firmata e autenticata con un ID sviluppatore Apple valido, "Avantis Regtech Private Limited (2S8XHJ7948)", che Apple ha poi revocato.

Una volta eseguito, il dropper scarica un PDF esca da un link di Google Drive e lo apre nel visualizzatore PDF predefinito per tenere la vittima distratta. Nel frattempo, la fase successiva dell'attacco viene scaricata segretamente da matuaner.com. In particolare, gli aggressori hanno modificato il file Info.plist dell'app per consentire connessioni HTTP non sicure al loro dominio, bypassando di fatto i protocolli App Transport Security di Apple.

Un nuovo meccanismo di persistenza sfruttato dal rischio nascosto

Il payload di seconda fase, denominato "growth", è un binario x86_64 Mach-O che opera sia sui dispositivi Intel che Apple Silicon dotati del framework di emulazione Rosetta. Garantisce la persistenza modificando il file di configurazione nascosto .zshenv nella directory home dell'utente, che si carica durante le sessioni Zsh.

Per confermare l'infezione riuscita e mantenere la persistenza, il malware crea un "touch file" nascosto nella directory /tmp/, che aiuta a mantenere attivo il payload anche dopo i riavvii o gli accessi degli utenti. Questa tecnica gli consente di bypassare i sistemi di rilevamento della persistenza di macOS 13 e versioni successive, che in genere avvisano gli utenti quando vengono installati nuovi LaunchAgent. Infettando il sistema con un file Zshenv dannoso, il malware stabilisce una forma più forte di persistenza. Sebbene questo metodo non sia del tutto nuovo, è la prima volta che i ricercatori lo vedono impiegato in attacchi live da parte di autori di malware.

Una volta radicata nel sistema, la backdoor si collega al server Command-and-Control (C2), verificando la presenza di nuovi comandi ogni 60 secondi. La stringa user-agent che impiega è stata associata a precedenti attacchi attribuiti a BlueNoroff nel 2023. I comandi osservati includono il download e l'esecuzione di payload aggiuntivi, l'esecuzione di comandi shell per modificare o rubare file o l'arresto completo del processo.

Gli esperti sottolineano che la campagna Hidden Risk è attiva da 12 mesi, adottando un approccio di phishing più diretto rispetto alla tipica strategia di "adescamento" sui social media vista in altre operazioni di hacker nordcoreani. I ricercatori sottolineano anche la capacità continua di BlueNoroff di proteggere i nuovi account degli sviluppatori Apple e di far notarizzare i loro payload, consentendo loro di aggirare le protezioni di macOS Gatekeeper.