Hidden Risk Malware

Kempen baharu oleh kumpulan ancaman Korea Utara BlueNoroff memfokuskan pada perniagaan mata wang kripto, menggunakan perisian hasad berbilang peringkat canggih yang menyasarkan sistem macOS. Digelar sebagai Risiko Tersembunyi oleh penyelidik, kempen ini memikat mangsa dengan e-mel yang mengandungi berita rekaan tentang perkembangan terkini dalam pasaran mata wang kripto. Malware yang terlibat dalam serangan ini menggunakan teknik kegigihan yang inovatif pada macOS, direka untuk tidak dapat dikesan oleh kemas kini sistem terkini, dengan berkesan memintas makluman keselamatan.

BlueNoroff ialah kumpulan jenayah siber yang terkenal dengan kecurian mata wang kripto dan sebelum ini menyasarkan sistem macOS. Dalam serangan yang lalu, mereka menggunakan muatan yang dikenali sebagai ObjCShellz, yang membolehkan mereka mewujudkan cengkerang jauh pada Mac yang terjejas.

Bagaimana Rantaian Jangkitan Rusk Tersembunyi Dijalankan

Serangan bermula dengan penyampaian e-mel pancingan data yang kelihatan mengandungi berita berkaitan mata wang kripto, selalunya dibentangkan sebagai mesej yang dimajukan daripada pengaruh crypto yang terkenal untuk memberikan kredibilitinya. E-mel itu termasuk pautan, kononnya membawa kepada PDF dengan maklumat penting, tetapi ia sebenarnya mengarahkan mangsa ke domain yang dikawal oleh penyerang, delphidigital.org.

Penyelidik telah memerhatikan bahawa URL pada masa ini menjadi hos versi tidak berbahaya bagi dokumen Bitcoin ETF, dengan menukar tajuk, walaupun kadangkala ia membawa kepada peringkat pertama himpunan aplikasi yang tidak selamat bertajuk Risiko Tersembunyi di Sebalik Lonjakan Baharu Bitcoin Price.app.

Untuk kempen ini, pelakon ancaman menggunakan kertas akademik yang sah dari Universiti Texas sebagai penyamaran. Peringkat pertama serangan itu melibatkan aplikasi penitis, ditandatangani dan disahkan di bawah ID Pembangun Apple yang sah, 'Avantis Regtech Private Limited (2S8XHJ7948),' yang telah dibatalkan oleh Apple sejak itu.

Setelah dilaksanakan, penitis memuat turun PDF tipu daripada pautan Google Drive dan membukanya dalam pemapar PDF lalai untuk memastikan mangsa terganggu. Sementara itu, peringkat serangan seterusnya dimuat turun secara rahsia dari matuaner.com. Terutamanya, penyerang telah mengubah fail Info.plist apl untuk membenarkan sambungan HTTP yang tidak selamat ke domain mereka, dengan berkesan memintas protokol Keselamatan Pengangkutan Apl Apple.

Mekanisme Kegigihan Novel yang Dieksploitasi oleh Risiko Tersembunyi

Muatan peringkat kedua, dinamakan 'pertumbuhan,' ialah binari x86_64 Mach-O yang beroperasi pada kedua-dua peranti Intel dan Apple Silicon yang dilengkapi dengan rangka kerja emulasi Rosetta. Ia memastikan kegigihan dengan mengubah suai fail konfigurasi .zshenv tersembunyi dalam direktori rumah pengguna, yang dimuatkan semasa sesi Zsh.

Untuk mengesahkan jangkitan yang berjaya dan mengekalkan kegigihan, perisian hasad mencipta 'fail sentuh' tersembunyi dalam direktori /tmp/, yang membantu memastikan muatan aktif walaupun selepas but semula atau log masuk pengguna. Teknik ini membolehkannya memintas sistem pengesanan kegigihan macOS 13 dan kemudiannya, yang biasanya memberi amaran kepada pengguna apabila LaunchAgents baharu dipasang. Dengan menjangkiti sistem dengan fail Zshenv yang berniat jahat, perisian hasad mewujudkan bentuk kegigihan yang lebih kuat. Walaupun kaedah ini tidak sepenuhnya baharu, ini merupakan kali pertama penyelidik melihat kaedah ini digunakan dalam serangan langsung oleh pengarang perisian hasad.

Setelah tertanam dalam sistem, pintu belakang bersambung ke pelayan Command-and-Control (C2), menyemak arahan baharu setiap 60 saat. Rentetan ejen pengguna yang digunakannya telah dikaitkan dengan serangan sebelumnya yang dikaitkan dengan BlueNoroff pada tahun 2023. Perintah yang diperhatikan termasuk memuat turun dan melaksanakan muatan tambahan, menjalankan perintah shell untuk mengubah atau mencuri fail, atau menghentikan proses sama sekali.

Pakar ambil perhatian bahawa kempen Risiko Tersembunyi telah aktif sejak 12 bulan lalu, mengambil pendekatan pancingan data yang lebih langsung dan bukannya strategi 'dandanan' media sosial biasa yang dilihat dalam operasi penggodam Korea Utara yang lain. Penyelidik juga menunjukkan keupayaan berterusan BlueNoroff untuk mendapatkan akaun pembangun Apple baharu dan mendapatkan muatan mereka disahkan notari, membolehkan mereka memintas perlindungan macOS Gatekeeper.