Hidden Risk Malware

उत्तर कोरियाली खतरा समूह BlueNoroff द्वारा नयाँ अभियानले क्रिप्टोकरेन्सी व्यवसायहरूमा ध्यान केन्द्रित गरिरहेको छ, एक परिष्कृत बहु-चरण मालवेयर लक्षित macOS प्रणालीहरू प्रयोग गरेर। अन्वेषकहरूद्वारा लुकेको जोखिम डब गरिएको, अभियानले क्रिप्टोकरेन्सी बजारमा हालैका घटनाक्रमहरूको बारेमा बनावटी समाचारहरू समावेश गर्ने इमेलहरूद्वारा पीडितहरूलाई लोभ्याउँछ। यी आक्रमणहरूमा संलग्न मालवेयरले macOS मा एक अभिनव दृढता प्रविधि प्रयोग गर्दछ, नवीनतम प्रणाली अद्यावधिकहरू द्वारा पत्ता नलाग्ने गरी डिजाइन गरिएको, प्रभावकारी रूपमा सुरक्षा अलर्टहरू बाइपास गर्दै।

BlueNoroff क्रिप्टोकरेन्सी चोरीको लागि कुख्यात साइबर अपराध समूह हो र यसले पहिले macOS प्रणालीहरूलाई लक्षित गरेको छ। विगतका आक्रमणहरूमा, तिनीहरूले ObjCShellz भनेर चिनिने पेलोड प्रयोग गर्थे, जसले तिनीहरूलाई सम्झौता गरिएका म्याकहरूमा रिमोट शेलहरू स्थापना गर्न अनुमति दियो।

कसरी लुकेको रस्क संक्रमण श्रृंखला बाहिर निकालिन्छ

आक्रमण फिसिङ इमेलको डेलिभरीबाट सुरु हुन्छ जसमा क्रिप्टोकरेन्सी-सम्बन्धित समाचारहरू समावेश देखिन्छ, जसलाई प्राय: एक प्रसिद्ध क्रिप्टो प्रभावकर्ताबाट फर्वार्ड गरिएको सन्देशको रूपमा प्रस्तुत गरिन्छ यसलाई विश्वसनीयता दिन। इमेलले एउटा लिङ्क समावेश गर्दछ, जुन महत्त्वपूर्ण जानकारीको साथ PDF मा जान्छ, तर यसले वास्तवमा पीडितलाई आक्रमणकारीहरूद्वारा नियन्त्रित डोमेनमा निर्देशित गर्दछ, delphidigital.org।

अन्वेषकहरूले अवलोकन गरेका छन् कि URL ले हाल Bitcoin ETF कागजातको हानिरहित संस्करण होस्ट गर्दछ, शीर्षकहरू परिवर्तन गर्दै, यद्यपि कहिलेकाहीं यसले Bitcoin Price.app को नयाँ सर्जको पछाडि हिडन रिस्क नामक असुरक्षित अनुप्रयोग बन्डलको पहिलो चरणमा पुर्‍याउँछ।

यस अभियानको लागि, धम्की अभिनेताले टेक्सास विश्वविद्यालयको भेषको रूपमा वैध शैक्षिक कागज प्रयोग गरे। आक्रमणको पहिलो चरणमा एउटा ड्रपर एप्लिकेसन समावेश छ, हस्ताक्षर गरिएको र मान्य एप्पल विकासकर्ता ID, 'Avantis Regtech Private Limited (2S8XHJ7948),' अन्तर्गत नोटरी गरिएको, जुन Apple ले खारेज गरेको छ।

एक पटक निष्पादित भएपछि, ड्रपरले गुगल ड्राइभ लिङ्कबाट डिकोय पीडीएफ डाउनलोड गर्छ र पीडितलाई विचलित राख्न पूर्वनिर्धारित PDF दर्शकमा खोल्छ। यसैबीच, आक्रमणको अर्को चरण गोप्य रूपमा matuaner.com बाट डाउनलोड गरिएको छ। उल्लेखनीय रूपमा, आक्रमणकारीहरूले आफ्नो डोमेनमा असुरक्षित HTTP जडानहरू अनुमति दिन एपको Info.plist फाइललाई परिवर्तन गरेका छन्, प्रभावकारी रूपमा एप्पलको एप यातायात सुरक्षा प्रोटोकलहरू बाइपास गर्दै।

लुकेको जोखिम द्वारा शोषण गरिएको एक उपन्यास दृढता संयन्त्र

दोस्रो चरणको पेलोड, जसलाई 'वृद्धि' नाम दिइएको छ, x86_64 Mach-O बाइनरी हो जसले Rosetta इम्युलेसन फ्रेमवर्कसँग सुसज्जित Intel र Apple Silicon यन्त्रहरू दुवैमा सञ्चालन गर्दछ। यसले प्रयोगकर्ताको गृह डाइरेक्टरीमा लुकेको .zshenv कन्फिगरेसन फाइल परिमार्जन गरेर दृढता सुनिश्चित गर्दछ, जुन Zsh सत्रहरूमा लोड हुन्छ।

सफल संक्रमण पुष्टि गर्न र निरन्तरता कायम राख्न, मालवेयरले /tmp/ डाइरेक्टरीमा लुकाइएको 'टच फाइल' सिर्जना गर्दछ, जसले रिबुट वा प्रयोगकर्ता लगइन पछि पनि पेलोड सक्रिय राख्न मद्दत गर्दछ। यो प्रविधिले यसलाई macOS 13 र पछिको दृढता पत्ता लगाउने प्रणालीहरूलाई बाइपास गर्न अनुमति दिन्छ, जसले नयाँ LaunchAgents स्थापना हुँदा प्रयोगकर्ताहरूलाई सचेत गराउँछ। प्रणालीलाई खराब Zshenv फाइलको साथ संक्रमित गरेर, मालवेयरले दृढताको बलियो रूप स्थापना गर्दछ। यद्यपि यो विधि पूर्णतया नयाँ छैन, यो पहिलो पटक हो कि शोधकर्ताहरूले यसलाई मालवेयर लेखकहरूले प्रत्यक्ष आक्रमणहरूमा प्रयोग गरेको देखेका छन्।

प्रणालीमा प्रवेश गरिसकेपछि, ब्याकडोर कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरमा जडान हुन्छ, प्रत्येक 60 सेकेन्डमा नयाँ आदेशहरूको लागि जाँच गर्दै। यसले नियोजित प्रयोगकर्ता-एजेन्ट स्ट्रिङ 2023 मा BlueNoroff मा श्रेय दिएका अघिल्लो आक्रमणहरूसँग सम्बन्धित छ। अवलोकन गरिएका आदेशहरूमा थप पेलोडहरू डाउनलोड गर्ने र कार्यान्वयन गर्ने, फाइलहरू परिवर्तन गर्न वा चोरी गर्न शेल आदेशहरू चलाउने, वा प्रक्रियालाई पूर्ण रूपमा रोक्न समावेश छ।

विज्ञहरूले नोट गरे कि हिडन जोखिम अभियान गत 12 महिनादेखि सक्रिय छ, अन्य उत्तर कोरियाली ह्याकर अपरेशनहरूमा देखिने सामान्य सोशल मिडिया 'ग्रूमिङ' रणनीति भन्दा बढी प्रत्यक्ष फिसिङ दृष्टिकोण अपनाउने। अन्वेषकहरूले नयाँ एप्पल विकासकर्ता खाताहरू सुरक्षित गर्न र तिनीहरूको पेलोडहरू नोटरी प्राप्त गर्न BlueNoroff को चलिरहेको क्षमतालाई पनि औंल्याए, तिनीहरूलाई macOS गेटकीपर सुरक्षाहरू बाइपास गर्न अनुमति दिँदै।