Hidden Risk Malware

ఉత్తర కొరియా బెదిరింపు సమూహం BlueNoroff ద్వారా ఒక కొత్త ప్రచారం క్రిప్టోకరెన్సీ వ్యాపారాలపై దృష్టి సారిస్తోంది, macOS సిస్టమ్‌లను లక్ష్యంగా చేసుకునే అధునాతన బహుళ-దశల మాల్వేర్‌ను ఉపయోగిస్తోంది. పరిశోధకులు హిడెన్ రిస్క్‌గా పేర్కొనబడిన ఈ ప్రచారం క్రిప్టోకరెన్సీ మార్కెట్‌లో ఇటీవలి పరిణామాల గురించి కల్పిత వార్తలను కలిగి ఉన్న ఇమెయిల్‌లతో బాధితులను ఆకర్షిస్తుంది. ఈ దాడుల్లో పాల్గొన్న మాల్వేర్ మాకోస్‌లో వినూత్నమైన పెర్సిస్టెన్స్ టెక్నిక్‌ని ఉపయోగిస్తుంది, ఇది తాజా సిస్టమ్ అప్‌డేట్‌ల ద్వారా గుర్తించబడకుండా రూపొందించబడింది, భద్రతా హెచ్చరికలను సమర్థవంతంగా దాటవేస్తుంది.

BlueNoroff అనేది క్రిప్టోకరెన్సీ దొంగతనానికి ప్రసిద్ధి చెందిన సైబర్ క్రైమ్ సమూహం మరియు ఇది గతంలో మాకోస్ సిస్టమ్‌లను లక్ష్యంగా చేసుకుంది. గత దాడులలో, వారు ObjCShellz అని పిలవబడే పేలోడ్‌ను ఉపయోగించారు, ఇది రాజీపడిన Mac లలో రిమోట్ షెల్‌లను ఏర్పాటు చేయడానికి వారిని అనుమతించింది.

హిడెన్ రస్క్ ఇన్ఫెక్షన్ చైన్ ఎలా నిర్వహించబడుతుంది

క్రిప్టోకరెన్సీకి సంబంధించిన వార్తలను కలిగి ఉన్నట్లు కనిపించే ఫిషింగ్ ఇమెయిల్ డెలివరీతో దాడి ప్రారంభమవుతుంది, ఇది విశ్వసనీయతను అందించడానికి ప్రసిద్ధ క్రిప్టో ఇన్‌ఫ్లుయెన్సర్ నుండి ఫార్వార్డ్ చేయబడిన సందేశంగా అందించబడుతుంది. ఇమెయిల్ లింక్‌ను కలిగి ఉంటుంది, ఇది ముఖ్యమైన సమాచారంతో PDFకి దారి తీస్తుంది, అయితే ఇది వాస్తవానికి దాడి చేసేవారిచే నియంత్రించబడే delphidigital.org డొమైన్‌కు బాధితుడిని మళ్లిస్తుంది.

URL ప్రస్తుతం బిట్‌కాయిన్ ఇటిఎఫ్ డాక్యుమెంట్ యొక్క హానిచేయని వెర్షన్‌ను టైటిల్‌లను మారుస్తుందని పరిశోధకులు గమనించారు, అయితే కొన్నిసార్లు ఇది బిట్‌కాయిన్ ప్రైస్.యాప్ యొక్క కొత్త ఉప్పెన వెనుక దాగి ఉన్న ప్రమాదం అనే పేరుతో అసురక్షిత అప్లికేషన్ బండిల్ యొక్క మొదటి దశకు దారి తీస్తుంది.

ఈ ప్రచారం కోసం, బెదిరింపు నటుడు మారువేషంలో యూనివర్శిటీ ఆఫ్ టెక్సాస్ నుండి చట్టబద్ధమైన అకడమిక్ పేపర్‌ను ఉపయోగించాడు. దాడి యొక్క మొదటి దశలో ఒక డ్రాపర్ అప్లికేషన్ ఉంటుంది, ఇది చెల్లుబాటు అయ్యే Apple డెవలపర్ ID కింద సంతకం చేయబడి మరియు నోటరీ చేయబడి ఉంటుంది, 'Avantis Regtech Private Limited (2S8XHJ7948),' దీనిని Apple రద్దు చేసింది.

ఒకసారి అమలు చేయబడిన తర్వాత, డ్రాపర్ Google డిస్క్ లింక్ నుండి డెకోయ్ PDFని డౌన్‌లోడ్ చేస్తుంది మరియు బాధితుని దృష్టి మరల్చకుండా ఉంచడానికి డిఫాల్ట్ PDF వ్యూయర్‌లో దాన్ని తెరుస్తుంది. ఇంతలో, దాడి యొక్క తదుపరి దశ రహస్యంగా matuaner.com నుండి డౌన్‌లోడ్ చేయబడింది. ముఖ్యంగా, దాడి చేసేవారు తమ డొమైన్‌కు అసురక్షిత HTTP కనెక్షన్‌లను అనుమతించడానికి యాప్ యొక్క Info.plist ఫైల్‌ను మార్చారు, Apple యాప్ ట్రాన్స్‌పోర్ట్ సెక్యూరిటీ ప్రోటోకాల్‌లను సమర్థవంతంగా దాటవేస్తున్నారు.

ఒక నవల పెర్సిస్టెన్స్ మెకానిజం ఎక్స్‌ప్లోయిట్ బై ది హిడెన్ రిస్క్

రెండవ-దశ పేలోడ్, 'గ్రోత్' అని పేరు పెట్టబడింది, ఇది x86_64 Mach-O బైనరీ, ఇది Rosetta ఎమ్యులేషన్ ఫ్రేమ్‌వర్క్‌తో కూడిన Intel మరియు Apple సిలికాన్ పరికరాలపై పనిచేస్తుంది. ఇది Zsh సెషన్‌లలో లోడ్ అయ్యే వినియోగదారు హోమ్ డైరెక్టరీలో దాచబడిన .zshenv కాన్ఫిగరేషన్ ఫైల్‌ను సవరించడం ద్వారా నిలకడను నిర్ధారిస్తుంది.

విజయవంతమైన ఇన్‌ఫెక్షన్‌ని నిర్ధారించడానికి మరియు నిలకడను కొనసాగించడానికి, మాల్వేర్ /tmp/ డైరెక్టరీలో దాచిన 'టచ్ ఫైల్'ని సృష్టిస్తుంది, ఇది రీబూట్ చేసిన తర్వాత లేదా వినియోగదారు లాగిన్ తర్వాత కూడా పేలోడ్‌ను సక్రియంగా ఉంచడంలో సహాయపడుతుంది. కొత్త LaunchAgents ఇన్‌స్టాల్ చేయబడినప్పుడు సాధారణంగా వినియోగదారులను హెచ్చరించే macOS 13 మరియు తరువాతి యొక్క పెర్సిస్టెన్స్ డిటెక్షన్ సిస్టమ్‌లను దాటవేయడానికి ఈ సాంకేతికత అనుమతిస్తుంది. హానికరమైన Zshenv ఫైల్‌తో సిస్టమ్‌ను ఇన్ఫెక్ట్ చేయడం ద్వారా, మాల్వేర్ ఒక బలమైన స్థిరత్వాన్ని ఏర్పాటు చేస్తుంది. ఈ పద్ధతి పూర్తిగా కొత్తది కానప్పటికీ, మాల్వేర్ రచయితల ప్రత్యక్ష దాడులలో దీనిని ఉపయోగించడాన్ని పరిశోధకులు చూడటం ఇదే మొదటిసారి.

సిస్టమ్‌లో స్థిరపడిన తర్వాత, బ్యాక్‌డోర్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌కు కనెక్ట్ అవుతుంది, ప్రతి 60 సెకన్లకు కొత్త ఆదేశాల కోసం తనిఖీ చేస్తుంది. ఇది ఉపయోగించే వినియోగదారు-ఏజెంట్ స్ట్రింగ్ 2023లో బ్లూనోరోఫ్‌కు ఆపాదించబడిన మునుపటి దాడులతో అనుబంధించబడింది. గమనించిన ఆదేశాలలో అదనపు పేలోడ్‌లను డౌన్‌లోడ్ చేయడం మరియు అమలు చేయడం, ఫైల్‌లను మార్చడానికి లేదా దొంగిలించడానికి షెల్ ఆదేశాలను అమలు చేయడం లేదా ప్రక్రియను పూర్తిగా నిలిపివేయడం వంటివి ఉన్నాయి.

ఇతర ఉత్తర కొరియా హ్యాకర్ కార్యకలాపాలలో కనిపించే సాధారణ సోషల్ మీడియా 'గ్రూమింగ్' వ్యూహం కంటే నేరుగా ఫిషింగ్ విధానాన్ని తీసుకుంటూ, హిడెన్ రిస్క్ ప్రచారం గత 12 నెలలుగా చురుకుగా ఉందని నిపుణులు గమనించారు. కొత్త Apple డెవలపర్ ఖాతాలను భద్రపరచడానికి మరియు వారి పేలోడ్‌లను నోటరీ చేయబడటానికి BlueNoroff యొక్క కొనసాగుతున్న సామర్థ్యాన్ని పరిశోధకులు ఎత్తి చూపారు, తద్వారా వాటిని macOS గేట్‌కీపర్ రక్షణలను దాటవేయడానికి వీలు కల్పిస్తుంది.