Hidden Risk Malware

O nouă campanie a grupului de amenințări nord-coreean BlueNoroff se concentrează pe afacerile cu criptomonede, folosind un malware sofisticat în mai multe etape care vizează sistemele macOS. Denumită Riscul Ascuns de către cercetători, campania atrage victimele cu e-mailuri care conțin știri inventate despre evoluțiile recente de pe piața criptomonedei. Malware-ul implicat în aceste atacuri folosește o tehnică inovatoare de persistență pe macOS, concepută să nu fie detectată de cele mai recente actualizări de sistem, ocolind în mod eficient alertele de securitate.

BlueNoroff este un grup de criminalitate cibernetică renumit pentru furtul de criptomonede și a vizat anterior sistemele macOS. În atacurile din trecut, au folosit o sarcină utilă cunoscută sub numele de ObjCShellz, care le-a permis să stabilească shell-uri la distanță pe Mac-uri compromise.

Cum se desfășoară lanțul de infecție cu Rusk ascuns

Atacul începe cu livrarea unui e-mail de phishing care pare să conțină știri legate de criptomonede, adesea prezentate ca un mesaj transmis de la un cripto influencer binecunoscut pentru a-i conferi credibilitate. E-mailul include un link, care se presupune că duce la un PDF cu informații importante, dar de fapt direcționează victima către un domeniu controlat de atacatori, delphidigital.org.

Cercetătorii au observat că adresa URL găzduiește în prezent o versiune inofensivă a unui document Bitcoin ETF, cu titluri care se schimbă, deși uneori duce la prima etapă a unui pachet de aplicații nesigure intitulat Riscul ascuns din spatele noului surge al Bitcoin Price.app.

Pentru această campanie, actorul amenințării a folosit ca deghizare o lucrare academică legitimă de la Universitatea din Texas. Prima etapă a atacului implică o aplicație dropper, semnată și legalizată sub un ID de dezvoltator Apple valid, „Avantis Regtech Private Limited (2S8XHJ7948),” pe care Apple a revocat-o de atunci.

Odată executat, dropper-ul descarcă un PDF momeală de pe un link Google Drive și îl deschide în vizualizatorul PDF implicit pentru a distra victima. Între timp, următoarea etapă a atacului este descărcată în secret de pe matuaner.com. În special, atacatorii au modificat fișierul Info.plist al aplicației pentru a permite conexiuni HTTP nesigure la domeniul lor, ocolind efectiv protocoalele Apple App Transport Security.

Un nou mecanism de persistență exploatat de riscul ascuns

Sarcina utilă din a doua etapă, denumită „creștere”, este un binar x86_64 Mach-O care funcționează atât pe dispozitivele Intel, cât și pe dispozitivele Apple Silicon echipate cu cadrul de emulare Rosetta. Asigură persistența prin modificarea fișierului de configurare .zshenv ascuns din directorul principal al utilizatorului, care se încarcă în timpul sesiunilor Zsh.

Pentru a confirma infecția cu succes și a menține persistența, malware-ul creează un „fișier tactil” ascuns în directorul /tmp/, care ajută la menținerea încărcăturii active chiar și după reporniri sau autentificarea utilizatorului. Această tehnică îi permite să ocolească macOS 13 și sistemele ulterioare de detectare a persistenței, care de obicei alertează utilizatorii când sunt instalați noi LaunchAgents. Infectând sistemul cu un fișier Zshenv rău intenționat, malware-ul stabilește o formă mai puternică de persistență. Deși această metodă nu este complet nouă, este pentru prima dată când cercetătorii au văzut-o folosită în atacuri live ale autorilor de malware.

Odată înrădăcinată în sistem, ușa din spate se conectează la serverul Command-and-Control (C2), verificând dacă există comenzi noi la fiecare 60 de secunde. Șirul user-agent pe care îl folosește a fost asociat cu atacuri anterioare atribuite BlueNoroff în 2023. Comenzile observate includ descărcarea și executarea de încărcături suplimentare, rularea comenzilor shell pentru a modifica sau fura fișiere sau oprirea completă a procesului.

Experții notează că campania Hidden Risk a fost activă în ultimele 12 luni, adoptând o abordare mai directă de phishing, mai degrabă decât strategia tipică de „îngrijire” a rețelelor sociale observată în alte operațiuni de hackeri nord-coreeni. Cercetătorii subliniază, de asemenea, capacitatea continuă a BlueNoroff de a securiza noile conturi de dezvoltator Apple și de a-și certifica încărcăturile utile, permițându-le să ocolească protecția macOS Gatekeeper.