Hidden Risk Malware

ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਧਮਕੀ ਸਮੂਹ ਬਲੂਨੋਰੋਫ ਦੁਆਰਾ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਕਾਰੋਬਾਰਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰ ਰਹੀ ਹੈ, ਇੱਕ ਵਧੀਆ ਮਲਟੀ-ਸਟੇਜ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਮੈਕੋਸ ਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਲੁਕੇ ਹੋਏ ਜੋਖਮ ਨੂੰ ਡੱਬ ਕੀਤਾ ਗਿਆ, ਇਹ ਮੁਹਿੰਮ ਪੀੜਤਾਂ ਨੂੰ ਈਮੇਲਾਂ ਨਾਲ ਭਰਮਾਉਂਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਮਾਰਕੀਟ ਵਿੱਚ ਹਾਲ ਹੀ ਦੇ ਵਿਕਾਸ ਬਾਰੇ ਮਨਘੜਤ ਖ਼ਬਰਾਂ ਹੁੰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਮਾਲਵੇਅਰ, ਮੈਕੋਸ 'ਤੇ ਇੱਕ ਨਵੀਨਤਾਕਾਰੀ ਸਥਿਰਤਾ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਪ੍ਰਭਾਵੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਨਵੀਨਤਮ ਸਿਸਟਮ ਅਪਡੇਟਾਂ ਦੁਆਰਾ ਖੋਜੇ ਜਾਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਬਲੂਨੋਰੋਫ ਇੱਕ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ ਹੈ ਜੋ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਚੋਰੀ ਲਈ ਬਦਨਾਮ ਹੈ ਅਤੇ ਪਹਿਲਾਂ ਮੈਕੋਸ ਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਚੁੱਕਾ ਹੈ। ਪਿਛਲੇ ਹਮਲਿਆਂ ਵਿੱਚ, ਉਹਨਾਂ ਨੇ ObjCShellz ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਪੇਲੋਡ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਮੈਕਸ ਤੇ ਰਿਮੋਟ ਸ਼ੈੱਲ ਸਥਾਪਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਗਈ।

ਛੁਪੀ ਹੋਈ ਰਸਕ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਕਿਵੇਂ ਪੂਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ

ਹਮਲਾ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਦੀ ਸਪੁਰਦਗੀ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕਰੰਸੀ-ਸਬੰਧਤ ਖ਼ਬਰਾਂ ਸ਼ਾਮਲ ਹੁੰਦੀਆਂ ਪ੍ਰਤੀਤ ਹੁੰਦੀਆਂ ਹਨ, ਅਕਸਰ ਇਸਨੂੰ ਭਰੋਸੇਯੋਗਤਾ ਦੇਣ ਲਈ ਇੱਕ ਮਸ਼ਹੂਰ ਕ੍ਰਿਪਟੋ ਪ੍ਰਭਾਵਕ ਦੁਆਰਾ ਇੱਕ ਫਾਰਵਰਡ ਸੰਦੇਸ਼ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਈਮੇਲ ਵਿੱਚ ਇੱਕ ਲਿੰਕ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜੋ ਕਿ ਮਹੱਤਵਪੂਰਨ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਇੱਕ PDF ਵੱਲ ਜਾਂਦਾ ਹੈ, ਪਰ ਇਹ ਅਸਲ ਵਿੱਚ ਪੀੜਤ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਡੋਮੇਨ, delphidigital.org 'ਤੇ ਭੇਜਦਾ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ URL ਵਰਤਮਾਨ ਵਿੱਚ ਬਦਲਦੇ ਸਿਰਲੇਖਾਂ ਦੇ ਨਾਲ, ਇੱਕ ਬਿਟਕੋਇਨ ETF ਦਸਤਾਵੇਜ਼ ਦੇ ਇੱਕ ਨੁਕਸਾਨ ਰਹਿਤ ਸੰਸਕਰਣ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਦਾ ਹੈ, ਹਾਲਾਂਕਿ ਕਈ ਵਾਰ ਇਹ ਬਿਟਕੋਇਨ Price.app ਦੇ ਨਵੇਂ ਵਾਧੇ ਦੇ ਪਿੱਛੇ ਲੁਕੇ ਹੋਏ ਜੋਖਮ ਦੇ ਸਿਰਲੇਖ ਵਾਲੇ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਐਪਲੀਕੇਸ਼ਨ ਬੰਡਲ ਦੇ ਪਹਿਲੇ ਪੜਾਅ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਲਈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਭੇਸ ਵਜੋਂ ਟੈਕਸਾਸ ਯੂਨੀਵਰਸਿਟੀ ਤੋਂ ਇੱਕ ਜਾਇਜ਼ ਅਕਾਦਮਿਕ ਪੇਪਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਹਮਲੇ ਦੇ ਪਹਿਲੇ ਪੜਾਅ ਵਿੱਚ ਇੱਕ ਡਰਾਪਰ ਐਪਲੀਕੇਸ਼ਨ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ, ਇੱਕ ਵੈਧ ਐਪਲ ਡਿਵੈਲਪਰ ID, 'Avantis Regtech Private Limited (2S8XHJ7948),' ਦੇ ਤਹਿਤ ਦਸਤਖਤ ਅਤੇ ਨੋਟਰਾਈਜ਼ਡ, ਜਿਸਨੂੰ ਐਪਲ ਨੇ ਉਦੋਂ ਤੋਂ ਰੱਦ ਕਰ ਦਿੱਤਾ ਹੈ।

ਇੱਕ ਵਾਰ ਚਲਾਏ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਡਰਾਪਰ ਇੱਕ Google ਡਰਾਈਵ ਲਿੰਕ ਤੋਂ ਇੱਕ ਡੀਕੋਏ ਪੀਡੀਐਫ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਦਾ ਧਿਆਨ ਭਟਕਾਉਣ ਲਈ ਇਸਨੂੰ ਡਿਫੌਲਟ PDF ਵਿਊਅਰ ਵਿੱਚ ਖੋਲ੍ਹਦਾ ਹੈ। ਇਸ ਦੌਰਾਨ, ਹਮਲੇ ਦੇ ਅਗਲੇ ਪੜਾਅ ਨੂੰ ਗੁਪਤ ਰੂਪ ਵਿੱਚ matuaner.com ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਹਮਲਾਵਰਾਂ ਨੇ ਐਪਲ ਦੇ ਐਪ ਟ੍ਰਾਂਸਪੋਰਟ ਸੁਰੱਖਿਆ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਪ੍ਰਭਾਵੀ ਢੰਗ ਨਾਲ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ, ਆਪਣੇ ਡੋਮੇਨ ਨਾਲ ਅਸੁਰੱਖਿਅਤ HTTP ਕਨੈਕਸ਼ਨਾਂ ਦੀ ਇਜਾਜ਼ਤ ਦੇਣ ਲਈ ਐਪ ਦੀ Info.plist ਫਾਈਲ ਨੂੰ ਬਦਲ ਦਿੱਤਾ ਹੈ।

ਲੁਕੇ ਹੋਏ ਜੋਖਮ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਇੱਕ ਨਾਵਲ ਨਿਰੰਤਰਤਾ ਵਿਧੀ

ਦੂਜੇ-ਪੜਾਅ ਦਾ ਪੇਲੋਡ, ਜਿਸਦਾ ਨਾਮ 'ਵਿਕਾਸ' ਹੈ, ਇੱਕ x86_64 Mach-O ਬਾਈਨਰੀ ਹੈ ਜੋ Rosetta ਇਮੂਲੇਸ਼ਨ ਫਰੇਮਵਰਕ ਨਾਲ ਲੈਸ Intel ਅਤੇ Apple Silicon ਡਿਵਾਈਸਾਂ ਦੋਵਾਂ 'ਤੇ ਕੰਮ ਕਰਦੀ ਹੈ। ਇਹ ਉਪਭੋਗਤਾ ਦੀ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਲੁਕੀ ਹੋਈ .zshenv ਸੰਰਚਨਾ ਫਾਈਲ ਨੂੰ ਸੋਧ ਕੇ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ, ਜੋ Zsh ਸੈਸ਼ਨਾਂ ਦੌਰਾਨ ਲੋਡ ਹੁੰਦੀ ਹੈ।

ਸਫਲਤਾਪੂਰਵਕ ਲਾਗ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਅਤੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਕਾਇਮ ਰੱਖਣ ਲਈ, ਮਾਲਵੇਅਰ /tmp/ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਛੁਪੀ ਹੋਈ 'ਟਚ ਫਾਈਲ' ਬਣਾਉਂਦਾ ਹੈ, ਜੋ ਰੀਬੂਟ ਜਾਂ ਉਪਭੋਗਤਾ ਲੌਗਿਨ ਤੋਂ ਬਾਅਦ ਵੀ ਪੇਲੋਡ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਰੱਖਣ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ। ਇਹ ਤਕਨੀਕ ਇਸਨੂੰ macOS 13 ਅਤੇ ਬਾਅਦ ਦੇ ਸਥਿਰਤਾ ਖੋਜ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ ਜਦੋਂ ਨਵੇਂ ਲਾਂਚ ਏਜੈਂਟਸ ਸਥਾਪਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਇੱਕ ਖਤਰਨਾਕ Zshenv ਫਾਈਲ ਨਾਲ ਸਿਸਟਮ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਕੇ, ਮਾਲਵੇਅਰ ਨਿਰੰਤਰਤਾ ਦਾ ਇੱਕ ਮਜ਼ਬੂਤ ਰੂਪ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਇਹ ਵਿਧੀ ਪੂਰੀ ਤਰ੍ਹਾਂ ਨਵੀਂ ਨਹੀਂ ਹੈ, ਇਹ ਪਹਿਲੀ ਵਾਰ ਹੈ ਜਦੋਂ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਨੂੰ ਮਾਲਵੇਅਰ ਲੇਖਕਾਂ ਦੁਆਰਾ ਲਾਈਵ ਹਮਲਿਆਂ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਦੇਖਿਆ ਹੈ।

ਇੱਕ ਵਾਰ ਸਿਸਟਮ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਬੈਕਡੋਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਜੁੜ ਜਾਂਦਾ ਹੈ, ਹਰ 60 ਸਕਿੰਟਾਂ ਵਿੱਚ ਨਵੀਆਂ ਕਮਾਂਡਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਯੂਜ਼ਰ-ਏਜੰਟ ਸਤਰ ਜਿਸ ਨੂੰ ਇਸ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਹੈ, 2023 ਵਿੱਚ ਬਲੂਨੋਰੋਫ ਨਾਲ ਸੰਬੰਧਿਤ ਪਿਛਲੇ ਹਮਲਿਆਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ। ਦੇਖੀਆਂ ਗਈਆਂ ਕਮਾਂਡਾਂ ਵਿੱਚ ਵਾਧੂ ਪੇਲੋਡਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ, ਫਾਈਲਾਂ ਨੂੰ ਬਦਲਣ ਜਾਂ ਚੋਰੀ ਕਰਨ ਲਈ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, ਜਾਂ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਰੋਕਣਾ ਸ਼ਾਮਲ ਹੈ।

ਮਾਹਰ ਨੋਟ ਕਰਦੇ ਹਨ ਕਿ ਲੁਕਵੇਂ ਜੋਖਮ ਦੀ ਮੁਹਿੰਮ ਪਿਛਲੇ 12 ਮਹੀਨਿਆਂ ਤੋਂ ਸਰਗਰਮ ਹੈ, ਜੋ ਕਿ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਹੋਰ ਹੈਕਰ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਦਿਖਾਈ ਦੇਣ ਵਾਲੀ ਆਮ ਸੋਸ਼ਲ ਮੀਡੀਆ 'ਗਰੂਮਿੰਗ' ਰਣਨੀਤੀ ਦੀ ਬਜਾਏ ਵਧੇਰੇ ਸਿੱਧੀ ਫਿਸ਼ਿੰਗ ਪਹੁੰਚ ਅਪਣਾਉਂਦੀ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨਵੇਂ ਐਪਲ ਡਿਵੈਲਪਰ ਖਾਤਿਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਪੇਲੋਡਾਂ ਨੂੰ ਨੋਟਰਾਈਜ਼ ਕਰਨ ਲਈ ਬਲੂਨੋਰੋਫ ਦੀ ਚੱਲ ਰਹੀ ਯੋਗਤਾ ਦਾ ਵੀ ਜ਼ਿਕਰ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਉਹ ਮੈਕੋਸ ਗੇਟਕੀਪਰ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦੇ ਹਨ।