Hidden Risk Malware

En ny kampanj av den nordkoreanska hotgruppen BlueNoroff fokuserar på kryptovalutaföretag, med hjälp av en sofistikerad flerstegs skadlig kod riktad mot macOS-system. Kampanjen, kallad den dolda risken av forskare, lockar offer med e-postmeddelanden som innehåller påhittade nyheter om den senaste utvecklingen på kryptovalutamarknaden. Skadlig programvara som är inblandad i dessa attacker använder en innovativ beständighetsteknik på macOS, utformad för att inte upptäckas av de senaste systemuppdateringarna, och effektivt kringgå säkerhetsvarningar.

BlueNoroff är en cyberbrottsgrupp som är ökänd för stöld av kryptovalutor och har tidigare riktat in sig på macOS-system. I tidigare attacker använde de en nyttolast känd som ObjCShellz, vilket gjorde det möjligt för dem att etablera fjärrskal på komprometterade Mac-datorer.

Hur den dolda skorporinfektionskedjan utförs

Attacken börjar med leveransen av ett nätfiske-e-postmeddelande som verkar innehålla kryptovalutarelaterade nyheter, ofta presenterat som ett vidarebefordrat meddelande från en välkänd kryptoinfluencer för att ge den trovärdighet. E-postmeddelandet innehåller en länk, som förmodligen leder till en PDF-fil med viktig information, men den leder faktiskt offret till en domän som kontrolleras av angriparna, delphidigital.org.

Forskare har observerat att URL:en för närvarande är värd för en ofarlig version av ett Bitcoin ETF-dokument, med ändrade titlar, även om det ibland leder till det första steget av ett osäkert applikationspaket med titeln Hidden Risk Behind New Surge of Bitcoin Price.app.

För denna kampanj använde hotaktören en legitim akademisk uppsats från University of Texas som en förklädnad. Det första steget av attacken involverar en dropparapplikation, signerad och attesterad under ett giltigt Apple-utvecklar-ID, 'Avantis Regtech Private Limited (2S8XHJ7948),' som Apple sedan dess har återkallat.

När den har körts laddar dropparen ned en lockbete-PDF från en Google Drive-länk och öppnar den i standard-PDF-visningen för att hålla offret distraherad. Under tiden laddas nästa steg av attacken ner i hemlighet från matuaner.com. Noterbart är att angriparna har ändrat appens Info.plist-fil för att tillåta osäkra HTTP-anslutningar till deras domän, vilket effektivt kringgår Apples App Transport Security-protokoll.

En ny uthållighetsmekanism som utnyttjas av den dolda risken

Nyttolasten i andra steget, kallad "tillväxt", är en x86_64 Mach-O-binär som fungerar på både Intel och Apple Silicon-enheter utrustade med Rosetta-emuleringsramverket. Det säkerställer uthållighet genom att modifiera den dolda .zshenv-konfigurationsfilen i användarens hemkatalog, som laddas under Zsh-sessioner.

För att bekräfta framgångsrik infektion och bibehålla persistens skapar skadlig programvara en dold "pekfil" i /tmp/-katalogen, som hjälper till att hålla nyttolasten aktiv även efter omstarter eller användarinloggningar. Denna teknik gör att den kan kringgå macOS 13 och senares beständighetsdetekteringssystem, som vanligtvis varnar användare när nya LaunchAgents installeras. Genom att infektera systemet med en skadlig Zshenv-fil etablerar skadlig programvara en starkare form av persistens. Även om den här metoden inte är helt ny, är det första gången som forskare har sett den användas i liveattacker av författare av skadlig programvara.

När den väl är förankrad i systemet ansluts bakdörren till Command-and-Control-servern (C2) och letar efter nya kommandon var 60:e sekund. Användaragentsträngen som den använder har associerats med tidigare attacker som tillskrivits BlueNoroff 2023. De kommandon som observerades inkluderar nedladdning och exekvering av ytterligare nyttolaster, körning av skalkommandon för att ändra eller stjäla filer eller att helt stoppa processen.

Experter noterar att kampanjen Hidden Risk har varit aktiv under de senaste 12 månaderna och har använt en mer direkt nätfiskestrategi snarare än den typiska "grooming"-strategi för sociala medier som ses i andra nordkoreanska hackeroperationer. Forskare påpekar också BlueNoroffs pågående förmåga att säkra nya Apple-utvecklarkonton och få sina nyttolaster attesterade, vilket gör att de kan kringgå macOS Gatekeeper-skydd.