Atores de ameaças da Coreia do Norte têm como alvo sistemas Apple macOS usando aplicativos Notepad e jogos de campo minado trojanizados criados com Flutter, os quais foram assinados e notarizados por um ID de desenvolvedor Apple legítimo.
Isso significa que os aplicativos maliciosos, mesmo que temporariamente, passaram pelas verificações de segurança da Apple, fazendo com que os sistemas macOS os tratem como verificados e permitam sua execução sem restrições.
Os nomes dos aplicativos giram em torno de temas de criptomoedas, o que alinha com os interesses dos hackers norte-coreanos em roubo financeiro.
De acordo com Jamf Threat Labs, que descobriu a atividade, a campanha parece mais um experimento para burlar a segurança do macOS do que uma operação totalmente desenvolvida e altamente direcionada.
A partir de novembro de 2024, a Jamf descobriu vários aplicativos no VirusTotal que pareciam completamente inocentes para todas as verificações de AV, mas demonstraram funcionalidade de "primeira fase", conectando-se a servidores associados a atores norte-coreanos.
Todos os aplicativos foram desenvolvidos para macOS usando o framework Flutter do Google, que permite aos desenvolvedores criar aplicativos compilados nativamente para diferentes sistemas operacionais usando uma única base de código escrita na linguagem de programação Dart.
"Não é incomum que atores embutam malware dentro de uma aplicação baseada em Flutter, no entanto, esta é a primeira vez que vimos este atacante usá-lo para atacar dispositivos macOS", explicaram os pesquisadores da Jamf, Ferdous Saljooki e Jaron Bradley.
Essa abordagem não só dá versatilidade aos autores do malware, mas também torna o código malicioso mais difícil de detectar porque está embutido dentro de uma biblioteca dinâmica (dylib), que é carregada pelo motor Flutter em tempo de execução.
Após uma análise mais aprofundada de um dos aplicativos baseados em Flutter, nomeado 'Novas Atualizações em Troca de Cripto (2024-08-28).app', a Jamf descobriu que o código ofuscado em dylib suportava a execução de AppleScript, permitindo que ele executasse scripts enviados de um servidor de comando e controle (C2).
O aplicativo abre um jogo de campo minado para macOS, cujo código está disponível gratuitamente no GitHub.
Cinco dos seis aplicativos maliciosos descobertos pela Jamf foram assinados usando um ID de desenvolvedor legítimo, e o malware havia passado pela notarização, o que significa que os aplicativos foram examinados pelos sistemas automatizados da Apple e considerados seguros.
A Jamf também descobriu variantes baseadas em Golang e Python, nomeadas 'Nova Era para Stablecoins e DeFi, CeFi (Protegido).app' e 'Runner.app', com este último apresentado como um simples aplicativo Notepad.
Ambos fizeram solicitações de rede para um domínio conhecido por estar ligado à RPDC, 'mbupdate.linkpc[.]net', e apresentaram capacidades de execução de scripts.
A Apple desde então revogou as assinaturas dos aplicativos descobertos pela Jamf, então eles não conseguirão burlar as defesas do Gatekeeper se forem carregados em um sistema macOS atualizado.
No entanto, não está claro se esses aplicativos foram usados em operações reais ou apenas em testes "no mundo real" para avaliar técnicas de burlar softwares de segurança.
O fato de existirem múltiplas variantes dos mesmos aplicativos subjacentes apoia essa teoria, mas por enquanto, os detalhes específicos desta operação permanecem desconhecidos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...