Atores de ameaças da Coreia do Norte têm como alvo sistemas Apple macOS usando aplicativos Notepad e jogos de campo minado trojanizados criados com Flutter, os quais foram assinados e notarizados por um ID de desenvolvedor Apple legítimo.
Isso significa que os aplicativos maliciosos, mesmo que temporariamente, passaram pelas verificações de segurança da Apple, fazendo com que os sistemas macOS os tratem como verificados e permitam sua execução sem restrições.
Os nomes dos aplicativos giram em torno de temas de criptomoedas, o que alinha com os interesses dos hackers norte-coreanos em roubo financeiro.
De acordo com Jamf Threat Labs, que descobriu a atividade, a campanha parece mais um experimento para burlar a segurança do macOS do que uma operação totalmente desenvolvida e altamente direcionada.
A partir de novembro de 2024, a Jamf descobriu vários aplicativos no VirusTotal que pareciam completamente inocentes para todas as verificações de AV, mas demonstraram funcionalidade de "primeira fase", conectando-se a servidores associados a atores norte-coreanos.
Todos os aplicativos foram desenvolvidos para macOS usando o framework Flutter do Google, que permite aos desenvolvedores criar aplicativos compilados nativamente para diferentes sistemas operacionais usando uma única base de código escrita na linguagem de programação Dart.
"Não é incomum que atores embutam malware dentro de uma aplicação baseada em Flutter, no entanto, esta é a primeira vez que vimos este atacante usá-lo para atacar dispositivos macOS", explicaram os pesquisadores da Jamf, Ferdous Saljooki e Jaron Bradley.
Essa abordagem não só dá versatilidade aos autores do malware, mas também torna o código malicioso mais difícil de detectar porque está embutido dentro de uma biblioteca dinâmica (dylib), que é carregada pelo motor Flutter em tempo de execução.
Após uma análise mais aprofundada de um dos aplicativos baseados em Flutter, nomeado 'Novas Atualizações em Troca de Cripto (2024-08-28).app', a Jamf descobriu que o código ofuscado em dylib suportava a execução de AppleScript, permitindo que ele executasse scripts enviados de um servidor de comando e controle (C2).
O aplicativo abre um jogo de campo minado para macOS, cujo código está disponível gratuitamente no GitHub.
Cinco dos seis aplicativos maliciosos descobertos pela Jamf foram assinados usando um ID de desenvolvedor legítimo, e o malware havia passado pela notarização, o que significa que os aplicativos foram examinados pelos sistemas automatizados da Apple e considerados seguros.
A Jamf também descobriu variantes baseadas em Golang e Python, nomeadas 'Nova Era para Stablecoins e DeFi, CeFi (Protegido).app' e 'Runner.app', com este último apresentado como um simples aplicativo Notepad.
Ambos fizeram solicitações de rede para um domínio conhecido por estar ligado à RPDC, 'mbupdate.linkpc[.]net', e apresentaram capacidades de execução de scripts.
A Apple desde então revogou as assinaturas dos aplicativos descobertos pela Jamf, então eles não conseguirão burlar as defesas do Gatekeeper se forem carregados em um sistema macOS atualizado.
No entanto, não está claro se esses aplicativos foram usados em operações reais ou apenas em testes "no mundo real" para avaliar técnicas de burlar softwares de segurança.
O fato de existirem múltiplas variantes dos mesmos aplicativos subjacentes apoia essa teoria, mas por enquanto, os detalhes específicos desta operação permanecem desconhecidos.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...