Hidden Risk Malware

Нова кампања севернокорејске групе за претње БлуеНорофф фокусира се на пословање са криптовалутама, користећи софистицирани вишестепени малвер који циља мацОС системе. Кампања коју су истраживачи назвали Скривени ризик, кампања мами жртве мејловима који садрже измишљене вести о недавним дешавањима на тржишту криптовалута. Злонамерни софтвер укључен у ове нападе користи иновативну технику постојаности на мацОС-у, дизајнирану да остане неоткривена најновијим системским ажурирањима, ефикасно заобилазећи безбедносна упозорења.

БлуеНорофф је група за сајбер криминал озлоглашена по крађи криптовалута и раније је циљала мацОС системе. У прошлим нападима, користили су корисни терет познат као ОбјЦСхеллз, што им је омогућило да успоставе удаљене љуске на компромитованим Мац рачунарима.

Како се спроводи скривени ланац инфекције двопеком

Напад почиње испоруком е-поште за крађу идентитета која изгледа да садржи вести у вези са криптовалутама, често представљене као прослеђена порука од добро познатог крипто инфлуенцера да би му дала кредибилитет. Имејл садржи везу, која наводно води до ПДФ-а са важним информацијама, али заправо упућује жртву на домен који контролишу нападачи, делпхидигитал.орг.

Истраживачи су приметили да УРЛ тренутно садржи безопасну верзију Битцоин ЕТФ документа, са променљивим насловима, мада понекад води до прве фазе несигурног пакета апликација под називом Скривени ризик иза новог скока Битцоин Прице.апп.

За ову кампању, актер претње је користио легитиман академски рад са Универзитета Тексас као маску. Прва фаза напада укључује апликацију дроппер, потписану и оверену под важећим Аппле ИД програмера, „Авантис Регтецх Привате Лимитед (2С8КСХЈ7948),“ који је Аппле од тада опозвао.

Када се изврши, капалица преузима лажни ПДФ са линка на Гоогле Дриве-у и отвара га у подразумеваном ПДФ прегледачу да би жртву омести. У међувремену, следећа фаза напада се тајно преузима са матуанер.цом. Посебно, нападачи су променили датотеку Инфо.плист апликације да би дозволили несигурне ХТТП везе са својим доменом, ефективно заобилазећи Аппле-ове протоколе Апп Транспорт Сецурити.

Нови механизам упорности који користи скривени ризик

Корисно оптерећење друге фазе, названо 'раст', је к86_64 Мацх-О бинарни фајл који ради и на Интел и на Аппле Силицон уређајима опремљеним Росетта емулационим оквиром. Осигурава постојаност тако што мења скривену .зсхенв конфигурациону датотеку у кућном директоријуму корисника, која се учитава током Зсх сесија.

Да би потврдио успешну инфекцију и одржао постојаност, злонамерни софтвер креира скривену „тоуцх датотеку“ у /тмп/ директоријуму, која помаже да корисни садржај остане активан чак и након поновног покретања или пријављивања корисника. Ова техника му омогућава да заобиђе мацОС 13 и новије системе за откривање постојаности, који обично упозоравају кориснике када се инсталирају нови ЛаунцхАгенти. Инфицирањем система злонамерном Зсхенв датотеком, малвер успоставља јачи облик постојаности. Иако ова метода није сасвим нова, то је први пут да су истраживачи видели да се користи у нападима уживо аутора малвера.

Једном укорењен у систем, бацкдоор се повезује са сервером за команду и контролу (Ц2), проверавајући нове команде сваких 60 секунди. Низ корисничког агента који користи повезан је са претходним нападима који су приписани БлуеНорофф-у 2023. године. Уочене команде укључују преузимање и извршавање додатних корисних оптерећења, покретање команди љуске за измену или крађу датотека или потпуно заустављање процеса.

Стручњаци примећују да је кампања скривеног ризика била активна последњих 12 месеци, узимајући директнији приступ пхисхинг-у, а не типичну стратегију „уређивања“ друштвених медија која се види у другим севернокорејским хакерским операцијама. Истраживачи такође истичу БлуеНорофф-ову сталну способност да обезбеди нове Аппле налоге програмера и да њихов корисни терет овери код нотара, што им омогућава да заобиђу заштиту мацОС Гатекеепер-а.