Hidden Risk Malware

Nowa kampania północnokoreańskiej grupy zagrożeń BlueNoroff koncentruje się na firmach kryptowalutowych, wykorzystując wyrafinowane wieloetapowe złośliwe oprogramowanie atakujące systemy macOS. Kampania, nazwana przez badaczy Hidden Risk, kusi ofiary e-mailami zawierającymi spreparowane wiadomości o ostatnich wydarzeniach na rynku kryptowalut. Złośliwe oprogramowanie zaangażowane w te ataki wykorzystuje innowacyjną technikę trwałości w systemie macOS, zaprojektowaną tak, aby nie została wykryta przez najnowsze aktualizacje systemu, skutecznie omijając alerty bezpieczeństwa.

BlueNoroff to grupa cyberprzestępcza znana z kradzieży kryptowalut, która wcześniej atakowała systemy macOS. W poprzednich atakach używali ładunku znanego jako ObjCShellz, który umożliwiał im ustanawianie zdalnych powłok na zainfekowanych komputerach Mac.

Jak przebiega ukryty łańcuch infekcji Rusk

Atak rozpoczyna się od dostarczenia wiadomości phishingowej, która wydaje się zawierać wiadomości związane z kryptowalutami, często przedstawiane jako przesłana wiadomość od znanego kryptoinfluencera, aby nadać jej wiarygodności. Wiadomość zawiera link, rzekomo prowadzący do pliku PDF z ważnymi informacjami, ale w rzeczywistości kieruje ofiarę do domeny kontrolowanej przez atakujących, delphidigital.org.

Badacze zaobserwowali, że pod tym adresem URL znajduje się obecnie niegroźna wersja dokumentu Bitcoin ETF ze zmieniającymi się tytułami, choć czasami prowadzi on do pierwszego etapu niebezpiecznego pakietu aplikacji o nazwie Hidden Risk Behind New Surge of Bitcoin Price.app.

W tej kampanii aktor zagrożenia wykorzystał jako kamuflaż legalny artykuł naukowy z University of Texas. Pierwszy etap ataku obejmuje aplikację droppera, podpisaną i poświadczoną notarialnie pod ważnym identyfikatorem Apple Developer ID, „Avantis Regtech Private Limited (2S8XHJ7948)”, który Apple od tamtej pory unieważnił.

Po uruchomieniu dropper pobiera plik PDF z linku Google Drive i otwiera go w domyślnej przeglądarce PDF, aby odwrócić uwagę ofiary. Tymczasem kolejny etap ataku jest potajemnie pobierany z matuaner.com. Co ciekawe, atakujący zmienili plik Info.plist aplikacji, aby zezwolić na niezabezpieczone połączenia HTTP z ich domeną, skutecznie omijając protokoły App Transport Security firmy Apple.

Nowy mechanizm trwałości wykorzystany przez ukryte ryzyko

Drugi etap ładunku, nazwany „growth”, to binarny plik x86_64 Mach-O, który działa zarówno na urządzeniach Intel, jak i Apple Silicon wyposażonych w ramy emulacji Rosetta. Zapewnia trwałość poprzez modyfikację ukrytego pliku konfiguracyjnego .zshenv w katalogu domowym użytkownika, który ładuje się podczas sesji Zsh.

Aby potwierdzić udaną infekcję i utrzymać trwałość, złośliwe oprogramowanie tworzy ukryty „plik dotykowy” w katalogu /tmp/, który pomaga utrzymać ładunek aktywnym nawet po ponownym uruchomieniu lub zalogowaniu użytkownika. Ta technika pozwala mu ominąć systemy wykrywania trwałości systemu macOS 13 i nowszych, które zazwyczaj powiadamiają użytkowników o zainstalowaniu nowych LaunchAgentów. Poprzez infekowanie systemu złośliwym plikiem Zshenv złośliwe oprogramowanie ustanawia silniejszą formę trwałości. Chociaż ta metoda nie jest całkowicie nowa, to po raz pierwszy badacze widzieli ją zastosowaną w rzeczywistych atakach autorów złośliwego oprogramowania.

Po zakorzenieniu się w systemie tylne wejście łączy się z serwerem Command-and-Control (C2), sprawdzając nowe polecenia co 60 sekund. Używany przez niego ciąg agenta użytkownika był powiązany z poprzednimi atakami przypisywanymi BlueNoroffowi w 2023 r. Obserwowane polecenia obejmują pobieranie i wykonywanie dodatkowych ładunków, uruchamianie poleceń powłoki w celu zmiany lub kradzieży plików lub całkowite zatrzymanie procesu.

Eksperci zauważają, że kampania Hidden Risk jest aktywna od 12 miesięcy, przyjmując bardziej bezpośrednie podejście phishingowe niż typową strategię „groomingu” w mediach społecznościowych, którą można zaobserwować w innych operacjach hakerskich Korei Północnej. Badacze wskazują również na ciągłą zdolność BlueNoroff do zabezpieczania nowych kont programistów Apple i notarialnego potwierdzania ich ładunków, co pozwala im ominąć zabezpieczenia macOS Gatekeeper.