Um ator de ameaças com ligações à República Popular Democrática da Coreia (DPRK) foi observado visando empresas relacionadas à criptomoeda com um malware de múltiplos estágios capaz de infectar dispositivos Apple macOS.
A empresa de cibersegurança SentinelOne, que denominou a campanha de Hidden Risk, atribuiu-a com alta confiança ao BlueNoroff, anteriormente ligado a famílias de malware como RustBucket, KANDYKORN, ObjCShellz, RustDoor (também conhecido como Thiefbucket) e TodoSwift.
A atividade "utiliza e-mails propagando fake news sobre tendências de criptomoeda para infectar alvos por meio de uma aplicação maliciosa disfarçada de arquivo PDF", disseram os pesquisadores Raffaele Sabato, Phil Stokes e Tom Hegel em um relatório compartilhado.
A campanha provavelmente começou tão cedo quanto julho de 2024 e utiliza e-mails e iscas PDF com manchetes de notícias falsas ou histórias sobre tópicos relacionados a cripto.
Conforme revelado pelo Federal Bureau of Investigation (FBI) dos EUA em um aviso de setembro de 2024, essas campanhas fazem parte de ataques de engenharia social "altamente personalizados e difíceis de detectar" direcionados a funcionários que trabalham no setor de finanças descentralizadas (DeFi) e criptomoedas.
Os ataques assumem a forma de oportunidades de emprego falsas ou investimento corporativo, engajando com seus alvos por longos períodos de tempo para construir confiança antes de entregar malware.
A SentinelOne disse que observou uma tentativa de phishing por email em uma indústria relacionada à cripto no final de outubro de 2024 que entregou uma aplicação dropper mimetizando um arquivo PDF ("O Risco Oculto por Trás da Nova Alta do Preço do Bitcoin.app") hospedado em delphidigital[.]org.
A aplicação, escrita na linguagem de programação Swift, foi encontrada assinada e autorizada em 19 de outubro de 2024, com a ID de desenvolvedor Apple "Avantis Regtech Private Limited (2S8XHJ7948)." A assinatura desde então foi revogada pelo fabricante do iPhone.
Ao ser lançada, a aplicação baixa e mostra para a vítima um arquivo PDF isca recuperado do Google Drive, enquanto secretamente recupera um executável de segundo estágio de um servidor remoto e o executa.
Um executável Mach-O x86-64, o binário não assinado baseado em C++ atua como um backdoor para executar comandos remotos.
O backdoor também incorpora um mecanismo de persistência inovador que abusa do arquivo de configuração zshenv, marcando a primeira vez que a técnica foi abusada no ambiente selvagem por autores de malware.
"Isso tem um valor particular nas versões modernas do macOS, uma vez que a Apple introduziu notificações ao usuário para Itens de Login em segundo plano a partir do macOS 13 Ventura", disseram os pesquisadores.
A notificação da Apple visa alertar os usuários quando um método de persistência é instalado, particularmente os frequentemente abusados LaunchAgents e LaunchDaemons.
Abusar do zshenv, no entanto, não aciona tal notificação nas versões atuais do macOS. O ator da ameaça também foi observado usando o registrador de domínios Namecheap para estabelecer uma infraestrutura centrada em temas relacionados à criptomoeda, Web3 e investimentos para lhe dar um verniz de legitimidade.
Quickpacket, Routerhosting e Hostwinds estão entre os provedores de hospedagem mais utilizados.
Vale ressaltar que a cadeia de ataque compartilha algum nível de sobreposição com uma campanha anterior que a Kandji destacou em agosto de 2024, que também empregou um aplicativo dropper macOS com nome semelhante "Fatores de risco para a queda do preço do Bitcoin estão emergindo(2024).app" para implantar TodoSwift.
Não está claro o que motivou os atores da ameaça a mudarem suas táticas, e se é em resposta aos relatórios públicos.
"Os atores norte-coreanos são conhecidos por sua criatividade, adaptabilidade e consciência de relatórios sobre suas atividades, então é totalmente possível que simplesmente estejamos vendo diferentes métodos bem-sucedidos emergirem de seu programa cibernético ofensivo", disse Stokes.
Outro aspecto preocupante da campanha é a capacidade do BlueNoroff de adquirir ou sequestrar contas válidas de desenvolvedor Apple e usá-las para ter seu malware autorizado pela Apple.
"Nos últimos 12 meses ou mais, os atores cibernéticos norte-coreanos se envolveram em uma série de campanhas contra a indústria relacionada à cripto, muitas das quais envolveram um extenso 'preparo' de alvos via mídias sociais", disseram os pesquisadores.
A campanha Hidden Risk se desvia dessa estratégia adotando uma abordagem de phishing por email mais tradicional e crua, embora não necessariamente menos eficaz.
Apesar da grosseria do método de infecção inicial, outros marcos de campanhas anteriores apoiadas pela DPRK são evidentes.
O desenvolvimento também ocorre em meio a outras campanhas orquestradas por hackers norte-coreanos para buscar emprego em várias empresas no Ocidente e entregar malware usando bases de código e ferramentas de conferência sabotadas para candidatos a emprego sob o pretexto de um desafio de contratação ou uma tarefa.
Os dois conjuntos de intrusion, denominados Wagemole (também conhecido como UNC5267) e Contagious Interview, foram atribuídos a um grupo de ameaças rastreado como Famous Chollima (também conhecido como CL-STA-0240 e Tenacious Pungsan).
A ESET, que deu ao Contagious Interview o apelido de DeceptiveDevelopment, classificou-o como um novo cluster de atividades do Grupo Lazarus focado em visar desenvolvedores freelancers ao redor do mundo com o objetivo de roubo de criptomoedas.
"As campanhas Contagious Interview e Wagemole mostram as táticas em evolução dos atores de ameaças norte-coreanos à medida que continuam a roubar dados, conseguir empregos remotos em países ocidentais e burlar sanções financeiras", disse o pesquisador da Zscaler ThreatLabz, Seongsu Park, no início desta semana.
Com técnicas de ofuscação refinadas, compatibilidade multiplataforma e roubo de dados em grande escala, essas campanhas representam uma ameaça crescente para empresas e indivíduos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...