Hidden Risk Malware

En ny kampanje fra den nordkoreanske trusselgruppen BlueNoroff fokuserer på kryptovalutabedrifter, ved å bruke en sofistikert flertrinns malware rettet mot macOS-systemer. Kampanjen, kalt den skjulte risikoen av forskere, lokker ofre med e-poster som inneholder oppdiktede nyheter om den siste utviklingen i kryptovalutamarkedet. Skadevaren involvert i disse angrepene bruker en innovativ utholdenhetsteknikk på macOS, designet for å forbli uoppdaget av de siste systemoppdateringene, og effektivt omgå sikkerhetsvarsler.

BlueNoroff er en cyberkriminalitetsgruppe kjent for kryptovaluta-tyveri og har tidligere målrettet macOS-systemer. I tidligere angrep brukte de en nyttelast kjent som ObjCShellz, som tillot dem å etablere eksterne skall på kompromitterte Mac-er.

Hvordan den skjulte rusk-infeksjonskjeden utføres

Angrepet starter med levering av en phishing-e-post som ser ut til å inneholde kryptovalutrelaterte nyheter, ofte presentert som en videresendt melding fra en velkjent krypto-influenser for å gi den troverdighet. E-posten inneholder en lenke, som angivelig fører til en PDF med viktig informasjon, men den leder faktisk offeret til et domene kontrollert av angriperne, delphidigital.org.

Forskere har observert at URL-en for øyeblikket er vert for en ufarlig versjon av et Bitcoin ETF-dokument, med skiftende titler, selv om det til tider fører til den første fasen av en utrygg applikasjonspakke med tittelen Hidden Risk Behind New Surge of Bitcoin Price.app.

For denne kampanjen brukte trusselaktøren en legitim akademisk artikkel fra University of Texas som en forkledning. Den første fasen av angrepet involverer en dropper-applikasjon, signert og notarisert under en gyldig Apple-utvikler-ID, 'Avantis Regtech Private Limited (2S8XHJ7948),' som Apple siden har tilbakekalt.

Når den er utført, laster dropperen ned en lokke-PDF fra en Google Disk-kobling og åpner den i standard PDF-visning for å holde offeret distrahert. I mellomtiden lastes neste trinn av angrepet ned i hemmelighet fra matuaner.com. Spesielt har angriperne endret appens Info.plist-fil for å tillate usikre HTTP-tilkoblinger til domenet deres, og effektivt omgå Apples App Transport Security-protokoller.

En ny persistensmekanisme utnyttet av den skjulte risikoen

Nyttelasten i andre trinn, kalt "vekst", er en x86_64 Mach-O-binær som opererer på både Intel og Apple Silicon-enheter utstyrt med Rosetta-emuleringsrammeverket. Det sikrer utholdenhet ved å endre den skjulte .zshenv-konfigurasjonsfilen i brukerens hjemmekatalog, som lastes inn under Zsh-økter.

For å bekrefte vellykket infeksjon og opprettholde utholdenhet, oppretter skadelig programvare en skjult "berøringsfil" i /tmp/-katalogen, som hjelper til med å holde nyttelasten aktiv selv etter omstart eller brukerpålogging. Denne teknikken lar den omgå macOS 13 og nyere sine utholdenhetsdeteksjonssystemer, som vanligvis varsler brukere når nye LaunchAgents er installert. Ved å infisere systemet med en ondsinnet Zshenv-fil, etablerer skadelig programvare en sterkere form for persistens. Selv om denne metoden ikke er helt ny, er det første gang forskere har sett den brukt i direkte angrep fra skadevareforfattere.

Når den er forankret i systemet, kobles bakdøren til Command-and-Control-serveren (C2), og ser etter nye kommandoer hvert 60. sekund. User-agent-strengen den bruker har vært assosiert med tidligere angrep tilskrevet BlueNoroff i 2023. Kommandoene som ble observert inkluderer nedlasting og utføring av ytterligere nyttelast, kjøring av skallkommandoer for å endre eller stjele filer, eller stanse prosessen totalt.

Eksperter bemerker at Hidden Risk-kampanjen har vært aktiv de siste 12 månedene, og har tatt en mer direkte phishing-tilnærming i stedet for den typiske sosiale medier-strategien som er sett i andre nordkoreanske hackeroperasjoner. Forskere peker også på BlueNoroffs pågående evne til å sikre nye Apple-utviklerkontoer og få nyttelastene notarisert, slik at de kan omgå macOS Gatekeeper-beskyttelse.