Hidden Risk Malware

Isang bagong campaign ng North Korean threat group na BlueNoroff ang tumutuon sa mga negosyong cryptocurrency, gamit ang isang sopistikadong multi-stage na malware na nagta-target sa mga macOS system. Tinatawag na Hidden Risk ng mga mananaliksik, ang kampanya ay nakakaakit sa mga biktima ng mga email na naglalaman ng gawa-gawang balita tungkol sa mga kamakailang pag-unlad sa merkado ng cryptocurrency. Ang malware na kasangkot sa mga pag-atake na ito ay gumagamit ng isang makabagong diskarte sa pagtitiyaga sa macOS, na idinisenyo upang hindi matukoy ng mga pinakabagong update sa system, na epektibong lumalampas sa mga alerto sa seguridad.

Ang BlueNoroff ay isang cybercrime group na kilalang-kilala sa pagnanakaw ng cryptocurrency at dati nang naka-target ang mga macOS system. Sa mga nakaraang pag-atake, gumamit sila ng payload na kilala bilang ObjCShellz, na nagpapahintulot sa kanila na magtatag ng mga malalayong shell sa mga nakompromisong Mac.

Paano Isinasagawa ang Hidden Rusk Infection Chain

Ang pag-atake ay nagsisimula sa paghahatid ng isang phishing na email na mukhang naglalaman ng mga balitang nauugnay sa cryptocurrency, na kadalasang ipinakita bilang isang ipinasa na mensahe mula sa isang kilalang crypto influencer upang bigyan ito ng kredibilidad. Ang email ay may kasamang link, na diumano ay humahantong sa isang PDF na may mahalagang impormasyon, ngunit ito ay talagang nagdidirekta sa biktima sa isang domain na kinokontrol ng mga umaatake, ang delphidigital.org.

Napagmasdan ng mga mananaliksik na kasalukuyang nagho-host ang URL ng isang hindi nakakapinsalang bersyon ng isang Bitcoin ETF na dokumento, na may mga pagbabago sa mga pamagat, bagaman kung minsan ay humahantong ito sa unang yugto ng isang hindi ligtas na bundle ng application na pinamagatang Hidden Risk Behind New Surge of Bitcoin Price.app.

Para sa kampanyang ito, ginamit ng banta ng aktor ang isang lehitimong akademikong papel mula sa Unibersidad ng Texas bilang isang disguise. Ang unang yugto ng pag-atake ay nagsasangkot ng isang dropper application, nilagdaan at na-notaryo sa ilalim ng wastong Apple Developer ID, 'Avantis Regtech Private Limited (2S8XHJ7948),' na binawi ng Apple mula noon.

Kapag naisakatuparan, ang dropper ay nagda-download ng decoy na PDF mula sa isang link ng Google Drive at binubuksan ito sa default na PDF viewer upang panatilihing magambala ang biktima. Samantala, ang susunod na yugto ng pag-atake ay lihim na dina-download mula sa matuaner.com. Kapansin-pansin, binago ng mga umaatake ang Info.plist file ng app para pahintulutan ang mga hindi secure na HTTP na koneksyon sa kanilang domain, na epektibong lumalampas sa mga protocol ng App Transport Security ng Apple.

Isang Novel Persistence Mechanism na Pinagsasamantalahan ng Nakatagong Panganib

Ang second-stage payload, na pinangalanang 'growth,' ay isang x86_64 Mach-O binary na gumagana sa parehong Intel at Apple Silicon device na nilagyan ng Rosetta emulation framework. Tinitiyak nito ang pagtitiyaga sa pamamagitan ng pagbabago sa nakatagong .zshenv configuration file sa home directory ng user, na naglo-load sa mga Zsh session.

Upang kumpirmahin ang matagumpay na impeksyon at mapanatili ang pagtitiyaga, ang malware ay gumagawa ng isang nakatagong 'touch file' sa /tmp/ na direktoryo, na tumutulong na panatilihing aktibo ang payload kahit na pagkatapos ng mga pag-reboot o pag-login ng user. Binibigyang-daan ito ng diskarteng ito na i-bypass ang macOS 13 at mas bago ang mga persistence detection system, na karaniwang nag-aalerto sa mga user kapag naka-install ang mga bagong LaunchAgents. Sa pamamagitan ng pag-impeksyon sa system ng isang nakakahamak na Zshenv file, ang malware ay nagtatatag ng mas malakas na anyo ng pagtitiyaga. Bagama't ang paraang ito ay hindi ganap na bago, ito ang unang pagkakataon na nakita ng mga mananaliksik na ginagamit ito sa mga live na pag-atake ng mga may-akda ng malware.

Kapag nakabaon na sa system, kumokonekta ang backdoor sa Command-and-Control (C2) server, na tumitingin ng mga bagong command tuwing 60 segundo. Ang string ng user-agent na ginagamit nito ay nauugnay sa mga nakaraang pag-atake na naiugnay sa BlueNoroff noong 2023. Kasama sa mga naobserbahang command ang pag-download at pag-execute ng mga karagdagang payload, pagpapatakbo ng mga shell command upang baguhin o magnakaw ng mga file, o ganap na paghinto sa proseso.

Napansin ng mga eksperto na naging aktibo ang Hidden Risk campaign sa nakalipas na 12 buwan, na gumagamit ng mas direktang diskarte sa phishing kaysa sa karaniwang diskarte sa 'grooming' ng social media na nakikita sa iba pang operasyon ng hacker sa North Korea. Itinuturo din ng mga mananaliksik ang patuloy na kakayahan ng BlueNoroff na i-secure ang mga bagong Apple developer account at ma-notaryo ang kanilang mga payload, na nagpapahintulot sa kanila na i-bypass ang mga proteksyon ng macOS Gatekeeper.