Hidden Risk Malware

Нова кампанія північнокорейської групи загроз BlueNoroff зосереджена на криптовалютних бізнесах, використовуючи складне багатоетапне шкідливе програмне забезпечення, націлене на системи macOS. Кампанія, яку дослідники назвали «Прихований ризик», залучає жертв електронними листами, які містять сфабриковані новини про останні події на ринку криптовалют. Зловмисне програмне забезпечення, задіяне в цих атаках, використовує інноваційну техніку стійкості в macOS, розроблену таким чином, щоб не виявляти останні оновлення системи, ефективно обходячи сповіщення системи безпеки.

BlueNoroff — це кіберзлочинна група, яка сумно відома крадіжками криптовалют, і раніше націлювалася на системи macOS. У минулих атаках вони використовували корисне навантаження, відоме як ObjCShellz, яке дозволяло їм встановлювати віддалені оболонки на скомпрометованих Mac.

Як здійснюється прихований ланцюжок зараження сухариками

Атака починається з доставки фішингового електронного листа, який, здається, містить новини, пов’язані з криптовалютою, часто представлений як переслане повідомлення від відомого криптоінфлюенсера, щоб надати йому довіри. Електронний лист містить посилання, яке нібито веде до PDF-файлу з важливою інформацією, але насправді воно спрямовує жертву на контрольований зловмисниками домен delphidigital.org.

Дослідники помітили, що URL-адреса наразі містить нешкідливу версію документа Bitcoin ETF зі зміненими назвами, хоча іноді це призводить до першого етапу небезпечного набору програм під назвою Hidden Risk Behind New Surge of Bitcoin Price.app.

Для цієї кампанії загрозливий актор використовував законну наукову роботу Техаського університету як маскування. Перший етап атаки включає програму-дропер, підписану та нотаріально завірену під дійсним ідентифікатором розробника Apple «Avantis Regtech Private Limited (2S8XHJ7948)», який Apple згодом відкликала.

Після виконання дроппер завантажує PDF-приманку з посилання на Google Drive і відкриває його у засобі перегляду PDF-файлів за замовчуванням, щоб жертва не відволікалася. Тим часом наступний етап атаки таємно завантажується з matuaner.com. Примітно, що зловмисники змінили файл Info.plist додатка, щоб дозволити небезпечні HTTP-з’єднання зі своїм доменом, фактично обходячи протоколи Apple App Transport Security.

Новий механізм стійкості, який використовує прихований ризик

Корисне навантаження другого етапу під назвою «зростання» — це двійковий файл x86_64 Mach-O, який працює як на пристроях Intel, так і на Apple Silicon, оснащених інфраструктурою емуляції Rosetta. Він забезпечує постійність, змінюючи прихований файл конфігурації .zshenv у домашньому каталозі користувача, який завантажується під час сеансів Zsh.

Щоб підтвердити успішне зараження та підтримувати стійкість, зловмисне програмне забезпечення створює прихований «сенсорний файл» у каталозі /tmp/, який допомагає підтримувати корисне навантаження активним навіть після перезавантаження або входу користувача. Ця техніка дозволяє обійти системи виявлення постійності macOS 13 і новіших версій, які зазвичай сповіщають користувачів про встановлення нових LaunchAgents. Заражаючи систему шкідливим файлом Zshenv, зловмисне програмне забезпечення встановлює більш надійну форму стійкості. Хоча цей метод не зовсім новий, це перший випадок, коли дослідники бачать його використання в реальних атаках авторів шкідливих програм.

Закріпившись у системі, бекдор з’єднується з сервером командування та контролю (C2), перевіряючи наявність нових команд кожні 60 секунд. Рядок агента користувача, який він використовує, був пов’язаний з попередніми атаками, приписуваними BlueNoroff у 2023 році. Спостережувані команди включають завантаження та виконання додаткових корисних навантажень, виконання команд оболонки для зміни або викрадення файлів або повну зупинку процесу.

Експерти відзначають, що кампанія Hidden Risk була активною протягом останніх 12 місяців, використовуючи більш прямий підхід до фішингу, а не типову стратегію «догляду» в соціальних мережах, яку можна побачити в інших північнокорейських хакерських операціях. Дослідники також відзначають постійну здатність BlueNoroff захищати нові облікові записи розробників Apple і нотаріально завіряти їх корисне навантаження, дозволяючи їм обходити захист macOS Gatekeeper.