Hidden Risk Malware

வட கொரிய அச்சுறுத்தல் குழுவான BlueNoroff இன் புதிய பிரச்சாரம், மேகோஸ் அமைப்புகளை குறிவைக்கும் அதிநவீன பல-நிலை தீம்பொருளைப் பயன்படுத்தி, கிரிப்டோகரன்சி வணிகங்களில் கவனம் செலுத்துகிறது. ஆராய்ச்சியாளர்களால் மறைக்கப்பட்ட ஆபத்து என்று அழைக்கப்படும் இந்த பிரச்சாரம், கிரிப்டோகரன்சி சந்தையில் சமீபத்திய முன்னேற்றங்கள் பற்றிய புனையப்பட்ட செய்திகளைக் கொண்ட மின்னஞ்சல்கள் மூலம் பாதிக்கப்பட்டவர்களை கவர்ந்திழுக்கிறது. இந்தத் தாக்குதல்களில் ஈடுபட்டுள்ள தீம்பொருள், MacOS இல் ஒரு புதுமையான நிலைத்தன்மை நுட்பத்தைப் பயன்படுத்துகிறது, இது சமீபத்திய சிஸ்டம் புதுப்பிப்புகளால் கண்டறியப்படாமல் இருக்க வடிவமைக்கப்பட்டுள்ளது, பாதுகாப்பு விழிப்பூட்டல்களைத் திறம்பட கடந்து செல்கிறது.

BlueNoroff என்பது கிரிப்டோகரன்சி திருட்டுக்கு பெயர்போன சைபர் கிரைம் குழுவாகும் மற்றும் இதற்கு முன்னர் மேகோஸ் அமைப்புகளை குறிவைத்தது. கடந்த தாக்குதல்களில், அவர்கள் ObjCShellz எனப்படும் பேலோடைப் பயன்படுத்தினர், இது சமரசம் செய்யப்பட்ட மேக்களில் ரிமோட் ஷெல்களை நிறுவ அனுமதித்தது.

மறைக்கப்பட்ட ரஸ்க் தொற்று சங்கிலி எவ்வாறு மேற்கொள்ளப்படுகிறது

கிரிப்டோகரன்சி தொடர்பான செய்திகளைக் கொண்டதாகத் தோன்றும் ஃபிஷிங் மின்னஞ்சலின் விநியோகத்துடன் தாக்குதல் தொடங்குகிறது, இது நம்பகத்தன்மையைக் கொடுப்பதற்காக நன்கு அறியப்பட்ட கிரிப்டோ இன்ஃப்ளூயன்ஸரிடமிருந்து அனுப்பப்பட்ட செய்தியாக அடிக்கடி வழங்கப்படுகிறது. மின்னஞ்சலில் ஒரு இணைப்பு உள்ளது, இது முக்கியமான தகவலுடன் PDFக்கு வழிவகுக்கும், ஆனால் அது உண்மையில் பாதிக்கப்பட்டவரை தாக்குபவர்களால் கட்டுப்படுத்தப்படும் delphidigital.org டொமைனுக்கு வழிநடத்துகிறது.

URL ஆனது தற்போது Bitcoin ETF ஆவணத்தின் பாதிப்பில்லாத பதிப்பை, தலைப்புகளை மாற்றுகிறது, இருப்பினும் சில சமயங்களில் இது Bitcoin Price.app இன் புதிய எழுச்சிக்குப் பின்னால் உள்ள மறைந்த ஆபத்து என்ற பாதுகாப்பற்ற பயன்பாட்டுத் தொகுப்பின் முதல் கட்டத்திற்கு இட்டுச் செல்கிறது என்பதை ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர்.

இந்த பிரச்சாரத்திற்காக, அச்சுறுத்தல் நடிகர் மாறுவேடமாக டெக்சாஸ் பல்கலைக்கழகத்தின் முறையான கல்வித் தாளைப் பயன்படுத்தினார். தாக்குதலின் முதல் கட்டத்தில், துளிசொட்டி விண்ணப்பம், செல்லுபடியாகும் ஆப்பிள் டெவலப்பர் ஐடியின் கீழ் கையொப்பமிடப்பட்டு அறிவிக்கப்பட்டது, 'Avantis Regtech Private Limited (2S8XHJ7948),' அதை ஆப்பிள் ரத்து செய்துள்ளது.

செயல்படுத்தப்பட்டதும், துளிசொட்டி ஒரு கூகுள் டிரைவ் இணைப்பிலிருந்து டிகோய் PDFஐப் பதிவிறக்கி, பாதிக்கப்பட்டவரின் கவனத்தைத் திசைதிருப்ப வைக்க இயல்புநிலை PDF வியூவரில் திறக்கும். இதற்கிடையில், தாக்குதலின் அடுத்த கட்டம் ரகசியமாக matuaner.com இல் பதிவிறக்கம் செய்யப்படுகிறது. குறிப்பிடத்தக்க வகையில், ஆப்பிளின் ஆப் டிரான்ஸ்போர்ட் செக்யூரிட்டி நெறிமுறைகளைத் திறம்பட கடந்து, தங்கள் டொமைனுக்கான பாதுகாப்பற்ற HTTP இணைப்புகளை அனுமதிக்க, செயலியின் Info.plist கோப்பைத் தாக்குபவர்கள் மாற்றியுள்ளனர்.

மறைக்கப்பட்ட அபாயத்தால் பயன்படுத்தப்படும் ஒரு நாவல் நிலைத்தன்மை பொறிமுறை

'வளர்ச்சி' எனப் பெயரிடப்பட்ட இரண்டாவது-நிலை பேலோட், x86_64 Mach-O பைனரி ஆகும், இது Intel மற்றும் Apple சிலிக்கான் சாதனங்களில் ரொசெட்டா எமுலேஷன் கட்டமைப்பைக் கொண்டுள்ளது. இது Zsh அமர்வுகளின் போது ஏற்றப்படும் பயனரின் முகப்பு கோப்பகத்தில் மறைக்கப்பட்ட .zshenv உள்ளமைவு கோப்பை மாற்றுவதன் மூலம் நிலைத்தன்மையை உறுதி செய்கிறது.

வெற்றிகரமான நோய்த்தொற்றை உறுதிப்படுத்தவும், தொடர்ந்து நிலைத்திருக்கவும், தீம்பொருள் /tmp/ கோப்பகத்தில் ஒரு மறைக்கப்பட்ட 'டச் கோப்பை' உருவாக்குகிறது, இது மறுதொடக்கம் அல்லது பயனர் உள்நுழைவுகளுக்குப் பிறகும் பேலோடை செயலில் வைத்திருக்க உதவுகிறது. இந்த நுட்பம் MacOS 13 மற்றும் அதற்குப் பிறகான நிலைத்தன்மை கண்டறிதல் அமைப்புகளைத் தவிர்க்க அனுமதிக்கிறது, இது பொதுவாக புதிய LaunchAgents நிறுவப்படும்போது பயனர்களை எச்சரிக்கும். தீங்கிழைக்கும் Zshenv கோப்பு மூலம் கணினியைப் பாதிப்பதன் மூலம், தீம்பொருள் ஒரு வலுவான நிலைத்தன்மையை நிறுவுகிறது. இந்த முறை முற்றிலும் புதியதல்ல என்றாலும், மால்வேர் ஆசிரியர்களின் நேரடி தாக்குதல்களில் இது பயன்படுத்தப்படுவதை ஆராய்ச்சியாளர்கள் கண்டது இதுவே முதல் முறை.

கணினியில் நிலைபெற்றதும், பின்கதவு கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் இணைகிறது, ஒவ்வொரு 60 வினாடிகளுக்கும் புதிய கட்டளைகளைச் சரிபார்க்கிறது. இது பயன்படுத்தும் பயனர் முகவர் சரமானது 2023 இல் BlueNoroff க்கு முந்தைய தாக்குதல்களுடன் தொடர்புடையது. கவனிக்கப்பட்ட கட்டளைகளில் கூடுதல் பேலோடுகளைப் பதிவிறக்குதல் மற்றும் செயல்படுத்துதல், கோப்புகளை மாற்ற அல்லது திருட ஷெல் கட்டளைகளை இயக்குதல் அல்லது செயல்முறையை முற்றிலுமாக நிறுத்துதல் ஆகியவை அடங்கும்.

மற்ற வட கொரிய ஹேக்கர் நடவடிக்கைகளில் காணப்படும் வழக்கமான சமூக ஊடக 'சீர்ப்படுத்தும்' உத்தியைக் காட்டிலும், மறைக்கப்பட்ட ஆபத்து பிரச்சாரம் கடந்த 12 மாதங்களாக செயலில் உள்ளது என்று நிபுணர்கள் குறிப்பிடுகின்றனர். புதிய ஆப்பிள் டெவலப்பர் கணக்குகளைப் பாதுகாப்பதற்கும், அவற்றின் பேலோடுகளை நோட்டரிஸ் மூலம் பெறுவதற்கும் BlueNoroff இன் தற்போதைய திறனையும் ஆராய்ச்சியாளர்கள் சுட்டிக்காட்டுகின்றனர், இதனால் அவர்கள் macOS கேட்கீப்பர் பாதுகாப்புகளைத் தவிர்க்க அனுமதிக்கிறது.