Hidden Risk Malware

Një fushatë e re nga grupi i kërcënimit të Koresë së Veriut BlueNoroff po fokusohet në bizneset e kriptomonedhave, duke përdorur një malware të sofistikuar me shumë faza që synon sistemet macOS. E quajtur rreziku i fshehur nga studiuesit, fushata i josh viktimat me email që përmbajnë lajme të fabrikuara rreth zhvillimeve të fundit në tregun e kriptomonedhave. Malware i përfshirë në këto sulme përdor një teknikë inovative të qëndrueshmërisë në macOS, e krijuar për të mbetur i pazbuluar nga përditësimet më të fundit të sistemit, duke anashkaluar në mënyrë efektive alarmet e sigurisë.

BlueNoroff është një grup krimi kibernetik i njohur për vjedhjet e kriptomonedhave dhe më parë ka synuar sistemet macOS. Në sulmet e kaluara, ata përdorën një ngarkesë të njohur si ObjCSshellz, e cila i lejoi ata të krijonin predha të largëta në Mac të komprometuar.

Si kryhet Zinxhiri i Infeksionit të Fshehur të Fshehurit

Sulmi fillon me dërgimin e një emaili phishing që duket se përmban lajme të lidhura me kriptovalutat, shpesh të paraqitura si një mesazh i përcjellë nga një kripto ndikues i njohur për t'i dhënë besueshmëri. Email-i përfshin një lidhje, që supozohet se çon në një PDF me informacione të rëndësishme, por në fakt e drejton viktimën në një domen të kontrolluar nga sulmuesit, delphidigital.org.

Studiuesit kanë vërejtur se URL-ja aktualisht pret një version të padëmshëm të një dokumenti Bitcoin ETF, me tituj të ndryshëm, megjithëse nganjëherë çon në fazën e parë të një pakete aplikacioni të pasigurt të titulluar Rreziku i Fshehur pas Rritjes së Re të Bitcoin Price.app.

Për këtë fushatë, aktori i kërcënimit përdori një punim legjitim akademik nga Universiteti i Teksasit si maskim. Faza e parë e sulmit përfshin një aplikacion dropper, të nënshkruar dhe të noterizuar nën një ID të vlefshme të Zhvilluesit të Apple, 'Avantis Regtech Private Limited (2S8XHJ7948),' të cilin Apple e ka anuluar që atëherë.

Pasi të ekzekutohet, pikatori shkarkon një PDF të rremë nga një lidhje Google Drive dhe e hap atë në shikuesin e parazgjedhur të PDF për ta mbajtur viktimën të shpërqendruar. Ndërkohë, faza tjetër e sulmit shkarkohet fshehurazi nga matuaner.com. Veçanërisht, sulmuesit kanë ndryshuar skedarin Info.plist të aplikacionit për të lejuar lidhje të pasigurta HTTP me domenin e tyre, duke anashkaluar në mënyrë efektive protokollet e Sigurisë së Transportit të Aplikacioneve të Apple.

Një mekanizëm i ri i qëndrueshmërisë i shfrytëzuar nga rreziku i fshehur

Ngarkesa e fazës së dytë, e quajtur 'growth', është një binar x86_64 Mach-O që funksionon si në Intel ashtu edhe në pajisjet Apple Silicon të pajisura me kornizën emuluese Rosetta. Siguron qëndrueshmëri duke modifikuar skedarin e konfigurimit të fshehur .zshenv në drejtorinë kryesore të përdoruesit, i cili ngarkohet gjatë sesioneve Zsh.

Për të konfirmuar infeksionin e suksesshëm dhe për të ruajtur qëndrueshmërinë, malware krijon një 'skedar me prekje' të fshehur në drejtorinë /tmp/, e cila ndihmon në mbajtjen aktive të ngarkesës edhe pas rindezjes ose hyrjes së përdoruesit. Kjo teknikë e lejon atë të anashkalojë macOS 13 dhe sistemet e zbulimit të qëndrueshmërisë së mëvonshme, të cilat zakonisht paralajmërojnë përdoruesit kur instalohen LaunchAgents të rinj. Duke infektuar sistemin me një skedar me qëllim të keq Zshenv, malware krijon një formë më të fortë të qëndrueshmërisë. Edhe pse kjo metodë nuk është krejtësisht e re, është hera e parë që studiuesit e kanë parë atë të përdorur në sulme të drejtpërdrejta nga autorë malware.

Pasi të futet në sistem, porta e pasme lidhet me serverin Command-and-Control (C2), duke kontrolluar për komanda të reja çdo 60 sekonda. Vargu përdorues-agjent që përdor ai është shoqëruar me sulme të mëparshme që i atribuohen BlueNoroff në 2023. Komandat e vëzhguara përfshijnë shkarkimin dhe ekzekutimin e ngarkesave shtesë, ekzekutimin e komandave të guaskës për të ndryshuar ose vjedhur skedarë ose ndalimin e procesit krejtësisht.

Ekspertët vënë në dukje se fushata Hidden Risk ka qenë aktive për 12 muajt e fundit, duke marrë një qasje më të drejtpërdrejtë të phishing sesa strategjinë tipike të "përkujdesjes" së mediave sociale që shihet në operacionet e tjera të hakerëve të Koresë së Veriut. Studiuesit theksojnë gjithashtu aftësinë e vazhdueshme të BlueNoroff për të siguruar llogaritë e reja të zhvilluesve të Apple dhe për të marrë ngarkesat e tyre të noterizuara, duke i lejuar ata të anashkalojnë mbrojtjen e macOS Gatekeeper.