Hidden Risk Malware

Een nieuwe campagne van de Noord-Koreaanse dreigingsgroep BlueNoroff richt zich op cryptovalutabedrijven en maakt gebruik van een geavanceerde multi-stage malware die gericht is op macOS-systemen. De campagne, die door onderzoekers de naam Hidden Risk heeft gekregen, lokt slachtoffers met e-mails die verzonnen nieuws bevatten over recente ontwikkelingen op de cryptovalutamarkt. De malware die bij deze aanvallen betrokken is, maakt gebruik van een innovatieve persistentietechniek op macOS, die is ontworpen om onopgemerkt te blijven door de nieuwste systeemupdates en zo effectief beveiligingswaarschuwingen te omzeilen.

BlueNoroff is een cybercrimegroep die berucht is om diefstal van cryptovaluta en die eerder macOS-systemen aanviel. In eerdere aanvallen gebruikten ze een payload genaamd ObjCShellz, waarmee ze externe shells konden opzetten op gecompromitteerde Macs.

Hoe de verborgen Rusk-infectieketen wordt uitgevoerd

De aanval begint met de levering van een phishing-e-mail die nieuws over cryptovaluta lijkt te bevatten, vaak gepresenteerd als een doorgestuurd bericht van een bekende crypto-influencer om het geloofwaardig te maken. De e-mail bevat een link die zogenaamd leidt naar een PDF met belangrijke informatie, maar het stuurt het slachtoffer in werkelijkheid naar een domein dat wordt beheerd door de aanvallers, delphidigital.org.

Onderzoekers hebben vastgesteld dat de URL momenteel een onschadelijke versie van een Bitcoin ETF-document bevat, met veranderende titels. Soms leidt het echter naar de eerste fase van een onveilige applicatiebundel met de naam Hidden Risk Behind New Surge of Bitcoin Price.app.

Voor deze campagne gebruikte de dreigingsactor een legitiem academisch artikel van de Universiteit van Texas als vermomming. De eerste fase van de aanval omvat een dropper-applicatie, ondertekend en notarieel bekrachtigd onder een geldig Apple Developer ID, 'Avantis Regtech Private Limited (2S8XHJ7948),' die Apple inmiddels heeft ingetrokken.

Eenmaal uitgevoerd, downloadt de dropper een decoy PDF van een Google Drive-link en opent deze in de standaard PDF-viewer om het slachtoffer af te leiden. Ondertussen wordt de volgende fase van de aanval in het geheim gedownload van matuaner.com. Opvallend is dat de aanvallers het Info.plist-bestand van de app hebben aangepast om onveilige HTTP-verbindingen met hun domein toe te staan, waarmee ze effectief de App Transport Security-protocollen van Apple omzeilen.

Een nieuw persistentiemechanisme uitgebuit door het verborgen risico

De tweede fase payload, genaamd 'growth', is een x86_64 Mach-O binary die werkt op zowel Intel als Apple Silicon apparaten die zijn uitgerust met het Rosetta emulatieframework. Het zorgt voor persistentie door het verborgen .zshenv configuratiebestand in de home directory van de gebruiker te wijzigen, dat wordt geladen tijdens Zsh sessies.

Om een succesvolle infectie te bevestigen en persistentie te behouden, creëert de malware een verborgen 'touch-bestand' in de /tmp/-directory, wat helpt om de payload actief te houden, zelfs na opnieuw opstarten of gebruikersaanmeldingen. Deze techniek maakt het mogelijk om de persistentiedetectiesystemen van macOS 13 en later te omzeilen, die gebruikers doorgaans waarschuwen wanneer er nieuwe LaunchAgents worden geïnstalleerd. Door het systeem te infecteren met een schadelijk Zshenv-bestand, creëert de malware een sterkere vorm van persistentie. Hoewel deze methode niet helemaal nieuw is, is het de eerste keer dat onderzoekers het hebben zien gebruiken in live-aanvallen door malware-auteurs.

Zodra de backdoor in het systeem is ingebed, maakt deze verbinding met de Command-and-Control (C2)-server en controleert elke 60 seconden op nieuwe opdrachten. De user-agent-string die het gebruikt, is in verband gebracht met eerdere aanvallen die in 2023 aan BlueNoroff zijn toegeschreven. De waargenomen opdrachten omvatten het downloaden en uitvoeren van extra payloads, het uitvoeren van shell-opdrachten om bestanden te wijzigen of te stelen, of het proces helemaal stopzetten.

Experts merken op dat de Hidden Risk-campagne de afgelopen 12 maanden actief is geweest, met een meer directe phishing-aanpak in plaats van de typische 'grooming'-strategie op sociale media die we zien bij andere Noord-Koreaanse hackeroperaties. Onderzoekers wijzen ook op BlueNoroffs voortdurende vermogen om nieuwe Apple-ontwikkelaarsaccounts te beveiligen en hun payloads te laten notariseren, waardoor ze de macOS Gatekeeper-beveiligingen kunnen omzeilen.