Hidden Risk Malware

Uma nova campanha do grupo de ameaças norte-coreano BlueNoroff está se concentrando em negócios de criptomoedas, usando um malware sofisticado de vários estágios visando sistemas macOS. Apelidada de Hidden Risk pelos pesquisadores, a campanha atrai vítimas com e-mails que contêm notícias fabricadas sobre desenvolvimentos recentes no mercado de criptomoedas. O malware envolvido nesses ataques emprega uma técnica de persistência inovadora no macOS, projetada para passar despercebida pelas últimas atualizações do sistema, ignorando efetivamente os alertas de segurança.

O BlueNoroff é um grupo de crimes cibernéticos famoso por roubo de criptomoedas e já teve como alvo sistemas macOS. Em ataques anteriores, eles usaram uma carga útil conhecida como ObjCShellz, que permitiu que eles estabelecessem shells remotos em Macs comprometidos.

Como a Cadeia de Infecção do Hidden Risk Malware é Realizada

O ataque começa com um e-mail de phishing que parece conter notícias relacionadas a criptomoedas, frequentemente apresentadas como uma mensagem encaminhada de um influenciador de criptomoedas bem conhecido para dar credibilidade. O e-mail inclui um link, supostamente levando a um PDF com informações importantes, mas na verdade direciona a vítima para um domínio controlado pelos invasores, delphidigital.org.

Os pesquisadores observaram que a URL atualmente hospeda uma versão inofensiva de um documento do ETF de Bitcoin, com títulos variáveis, embora às vezes leve ao primeiro estágio de um pacote de aplicativo inseguro intitulado Risco Oculto por Trás do Novo Aumento do Preço do Bitcoin.app.

Para esta campanha, o agente da ameaça usou um artigo acadêmico legítimo da Universidade do Texas como disfarce. O primeiro estágio do ataque envolve um aplicativo dropper, assinado e autenticado sob um ID de desenvolvedor Apple válido, 'Avantis Regtech Private Limited (2S8XHJ7948)', que a Apple revogou desde então.

Uma vez executado, o dropper baixa um PDF de isca de um link do Google Drive e o abre no visualizador de PDF padrão para manter a vítima distraída. Enquanto isso, o próximo estágio do ataque é baixado secretamente de matuaner.com. Notavelmente, os invasores alteraram o arquivo Info.plist do aplicativo para permitir conexões HTTP inseguras ao seu domínio, efetivamente ignorando os protocolos App Transport Security da Apple.

Um Novo Mecanismo de Persistência Explorado pelo Hidden Risk Malware

O payload de segundo estágio, chamado 'growth', é um binário x86_64 Mach-O que opera em dispositivos Intel e Apple Silicon equipados com a estrutura de emulação Rosetta. Ele garante persistência modificando o arquivo de configuração oculto .zshenv no diretório home do usuário, que carrega durante as sessões Zsh.

Para confirmar a infecção bem-sucedida e manter a persistência, o malware cria um 'arquivo touch' oculto no diretório /tmp/, que ajuda a manter a carga ativa mesmo após reinicializações ou logins de usuários. Essa técnica permite que ele ignore os sistemas de detecção de persistência do macOS 13 e posteriores, que normalmente alertam os usuários quando novos LaunchAgents são instalados. Ao infectar o sistema com um arquivo Zshenv malicioso, o malware estabelece uma forma mais forte de persistência. Embora esse método não seja totalmente novo, é a primeira vez que pesquisadores o veem empregado em ataques ao vivo por autores de malware.

Uma vez entrincheirado no sistema, o backdoor se conecta ao servidor Command-and-Control (C2), verificando novos comandos a cada 60 segundos. A sequência de agentes de usuário que ele emprega foi associada a ataques anteriores atribuídos ao BlueNoroff em 2023. Os comandos observados incluem baixar e executar payloads adicionais, executar comandos de shell para alterar ou roubar arquivos ou interromper o processo completamente.

Os especialistas observam que a campanha Hidden Risk está ativa há 12 meses, adotando uma abordagem de phishing mais direta em vez da estratégia típica de "preparação" de mídia social vista em outras operações de hackers norte-coreanos. Pesquisadores também apontam a capacidade contínua da BlueNoroff de proteger novas contas de desenvolvedores da Apple e obter suas cargas úteis autenticadas, permitindo que elas ignorem as proteções do macOS Gatekeeper.