Hidden Risk Malware

Новая кампания северокорейской группы BlueNoroff нацелена на криптовалютный бизнес, используя сложное многоэтапное вредоносное ПО, нацеленное на системы macOS. Исследователи окрестили эту кампанию Hidden Risk, она заманивает жертв электронными письмами, содержащими сфабрикованные новости о последних событиях на рынке криптовалют. Вредоносное ПО, задействованное в этих атаках, использует инновационную технику сохранения на macOS, разработанную для того, чтобы оставаться незамеченным последними обновлениями системы, эффективно обходя оповещения безопасности.

BlueNoroff — это киберпреступная группа, известная кражей криптовалюты, которая ранее нацелилась на системы macOS. В прошлых атаках они использовали полезную нагрузку, известную как ObjCShellz, которая позволяла им устанавливать удаленные оболочки на скомпрометированных компьютерах Mac.

Как осуществляется скрытая цепочка заражения сухариками

Атака начинается с доставки фишингового письма, которое, по-видимому, содержит новости, связанные с криптовалютой, часто представленное как пересланное сообщение от известного крипто-инфлюенсера, чтобы придать ему достоверность. Письмо содержит ссылку, якобы ведущую на PDF-файл с важной информацией, но на самом деле оно направляет жертву на домен, контролируемый злоумышленниками, delphidigital.org.

Исследователи заметили, что в настоящее время по этому URL-адресу размещена безобидная версия документа Bitcoin ETF с меняющимися заголовками, хотя иногда он ведет к первой стадии небезопасного пакета приложений под названием Hidden Risk Behind New Surge of Bitcoin Price.app.

Для этой кампании злоумышленник использовал в качестве маскировки легитимную академическую статью Техасского университета. Первый этап атаки включает в себя приложение-дроппер, подписанное и нотариально заверенное под действительным идентификатором разработчика Apple, «Avantis Regtech Private Limited (2S8XHJ7948)», который Apple с тех пор отозвала.

После запуска дропер загружает поддельный PDF-файл со ссылки Google Drive и открывает его в стандартном просмотрщике PDF-файлов, чтобы отвлечь жертву. Тем временем, следующий этап атаки тайно загружается с matuaner.com. Примечательно, что злоумышленники изменили файл Info.plist приложения, чтобы разрешить небезопасные HTTP-соединения со своим доменом, эффективно обходя протоколы App Transport Security от Apple.

Новый механизм устойчивости, используемый скрытым риском

Полезная нагрузка второго этапа, названная «growth», представляет собой двоичный файл x86_64 Mach-O, работающий как на устройствах Intel, так и на устройствах Apple Silicon, оснащенных фреймворком эмуляции Rosetta. Он обеспечивает сохранение, изменяя скрытый файл конфигурации .zshenv в домашнем каталоге пользователя, который загружается во время сеансов Zsh.

Для подтверждения успешного заражения и сохранения устойчивости вредоносная программа создает скрытый «touch-файл» в каталоге /tmp/, который помогает сохранять полезную нагрузку активной даже после перезагрузки или входа пользователя в систему. Этот метод позволяет ей обходить системы обнаружения устойчивости macOS 13 и более поздних версий, которые обычно оповещают пользователей об установке новых LaunchAgents. Заражая систему вредоносным файлом Zshenv, вредоносная программа устанавливает более сильную форму устойчивости. Хотя этот метод не является совершенно новым, исследователи впервые увидели его применение в реальных атаках авторами вредоносных программ.

После внедрения в систему бэкдор подключается к серверу Command-and-Control (C2), проверяя наличие новых команд каждые 60 секунд. Строка user-agent, которую он использует, была связана с предыдущими атаками, приписываемыми BlueNoroff в 2023 году. Наблюдаемые команды включают загрузку и выполнение дополнительных полезных нагрузок, запуск команд оболочки для изменения или кражи файлов или полную остановку процесса.

Эксперты отмечают, что кампания Hidden Risk была активна в течение последних 12 месяцев, используя более прямой фишинговый подход, а не типичную стратегию «обработки» социальных сетей, которая наблюдается в других северокорейских хакерских операциях. Исследователи также указывают на постоянную способность BlueNoroff защищать новые учетные записи разработчиков Apple и нотариально заверять свои полезные нагрузки, что позволяет им обходить защиту macOS Gatekeeper.