Hidden Risk Malware

Nova kampanja severnokorejske groženjske skupine BlueNoroff se osredotoča na podjetja s kriptovalutami, pri čemer uporablja sofisticirano večstopenjsko zlonamerno programsko opremo, ki cilja na sisteme macOS. Kampanja, ki so jo raziskovalci poimenovali Hidden Risk, privablja žrtve z e-poštnimi sporočili, ki vsebujejo izmišljene novice o nedavnem razvoju na trgu kriptovalut. Zlonamerna programska oprema, vključena v te napade, uporablja inovativno tehniko vztrajnosti v sistemu macOS, zasnovano tako, da je najnovejše sistemske posodobitve ne odkrijejo in učinkovito zaobidejo varnostna opozorila.

BlueNoroff je kibernetska kriminalna skupina, ki je razvpita po kraji kriptovalut in je že ciljala na sisteme macOS. V preteklih napadih so uporabili obremenitev, znano kot ObjCShellz, ki jim je omogočila vzpostavitev oddaljenih lupin na ogroženih računalnikih Mac.

Kako se izvaja veriga okužbe s skritim prepečencem

Napad se začne z dostavo e-poštnega sporočila z lažnim predstavljanjem, za katerega se zdi, da vsebuje novice, povezane s kriptovalutami, ki so pogosto predstavljene kot posredovano sporočilo znanega kriptovalutega, ki mu daje verodostojnost. E-poštno sporočilo vključuje povezavo, ki naj bi vodila do PDF-ja s pomembnimi informacijami, vendar žrtev dejansko usmeri na domeno delphidigital.org, ki jo nadzirajo napadalci.

Raziskovalci so opazili, da URL trenutno gosti neškodljivo različico dokumenta Bitcoin ETF s spreminjajočimi se naslovi, čeprav včasih vodi do prve stopnje nevarnega paketa aplikacij z naslovom Hidden Risk Behind New Surge of Bitcoin Price.app.

Za to kampanjo je akter grožnje kot krinko uporabil zakonit akademski članek z Univerze v Teksasu. Prva faza napada vključuje aplikacijo dropper, podpisano in notarsko overjeno z veljavnim ID-jem razvijalca Apple, 'Avantis Regtech Private Limited (2S8XHJ7948),' ki ga je Apple medtem preklical.

Ko se izvede, dropper prenese vabni PDF s povezave Google Drive in ga odpre v privzetem pregledovalniku PDF, da žrtev odvrne pozornost. Medtem se naslednja stopnja napada skrivaj prenese z matuaner.com. Predvsem so napadalci spremenili datoteko Info.plist aplikacije, da dovolijo nevarne povezave HTTP z njihovo domeno, s čimer učinkovito zaobidejo Applove protokole App Transport Security.

Nov vztrajni mehanizem, ki ga izkorišča skrito tveganje

Koristna obremenitev druge stopnje, imenovana "rast", je x86_64 Mach-O binarna datoteka, ki deluje na napravah Intel in Apple Silicon, opremljenih z emulacijskim okvirom Rosetta. Zagotavlja obstojnost s spreminjanjem skrite konfiguracijske datoteke .zshenv v uporabnikovem domačem imeniku, ki se naloži med sejami Zsh.

Za potrditev uspešne okužbe in ohranjanje obstojnosti zlonamerna programska oprema ustvari skrito 'datoteko na dotik' v imeniku /tmp/, ki pomaga ohranjati koristno vsebino aktivno tudi po ponovnem zagonu ali prijavi uporabnikov. Ta tehnika mu omogoča, da obide macOS 13 in novejše sisteme za zaznavanje obstojnosti, ki uporabnike običajno opozorijo, ko so nameščeni novi LaunchAgenti. Z okužbo sistema z zlonamerno datoteko Zshenv zlonamerna programska oprema vzpostavi močnejšo obliko obstojnosti. Čeprav ta metoda ni povsem nova, je to prvič, da so jo raziskovalci uporabili pri napadih v živo s strani avtorjev zlonamerne programske opreme.

Ko so zadnja vrata zasidrana v sistemu, se povežejo s strežnikom Command-and-Control (C2) in vsakih 60 sekund preverjajo nove ukaze. Niz uporabniškega agenta, ki ga uporablja, je bil povezan s prejšnjimi napadi, pripisanimi BlueNoroffu leta 2023. Opaženi ukazi vključujejo prenos in izvajanje dodatnih uporabnih obremenitev, izvajanje ukazov lupine za spreminjanje ali krajo datotek ali popolno zaustavitev postopka.

Strokovnjaki ugotavljajo, da je bila kampanja Hidden Risk aktivna zadnjih 12 mesecev, pri čemer je imela bolj neposreden pristop lažnega predstavljanja in ne tipične strategije 'navezovanja' družbenih medijev, ki jo vidimo pri drugih severnokorejskih hekerskih operacijah. Raziskovalci prav tako poudarjajo stalno sposobnost BlueNoroffa, da zavaruje nove račune razvijalcev Apple in overi njihove koristne tovore, kar jim omogoča, da zaobidejo zaščito macOS Gatekeeper.