Um ator de ameaça ligado à República Popular Democrática da Coreia (RPDC) foi flagrado atacando empresas relacionadas a criptomoedas com malware em vários estágios, capaz de infectar dispositivos Apple macOS.
Empresa de segurança cibernética SentinelOne, que nomeou a campanha Perigo Ocultoatribuído com grande confiança ao BlueNoroff, que já foi vinculado a famílias de malware como RustBucket, KANDYKORN, ObjCHellz, RustDoor (também conhecido como Thiefbucket) e TodoSwift.
A operação “usa e-mails que espalham notícias falsas sobre tendências de criptomoedas para infectar alvos usando um programa malicioso disfarçado de arquivo PDF”, disseram os pesquisadores Raffaele Sabato, Phil Stokes e Tom Hegel em um relatório compartilhado com o Hacker News.
“A campanha pode ter começado no início de julho de 2024 e está usando e-mail e lubrificante de PDF com manchetes de notícias falsas ou histórias sobre tópicos relacionados à criptografia.”
Conforme revelado pelo Federal Bureau of Investigation (FBI) dos EUA em um comunicado de setembro de 2024, essas campanhas fazem parte de um “ataque de engenharia social altamente projetado e difícil de detectar” destinado a funcionários que trabalham nas áreas de finanças (DeFi) e criptomoeda. .
Esses ataques assumem a forma de falsas oportunidades de emprego ou investimentos empresariais, interagindo com seus alvos por um longo período para construir confiança antes de entregar o malware.
SentinelOne disse que detectou uma tentativa de phishing por e-mail na indústria relacionada à criptografia no final de outubro de 2024, que entregou um aplicativo de phishing que se fazia passar por um arquivo PDF (“Ameaça oculta por trás do novo aumento de preço do Bitcoin.app”) hospedado em delphidigital[.]organização.
O aplicativo, escrito na linguagem de programação Swift, foi assinado e verificado em 19 de outubro de 2024, com o ID de desenvolvedor da Apple “Avantis Regtech Private Limited (2S8XHJ7948).” A assinatura já foi retirada pela fabricante do iPhone.
Quando iniciado, o aplicativo baixa e mostra à vítima um arquivo PDF falsificado recuperado do Google Drive, enquanto baixa sub-repticiamente um segundo executável de um servidor remoto e o executa. Mach-O x86-64 executável, binário não assinado baseado em C++ que atua como um backdoor para executar comandos remotos.
O backdoor também inclui um novo método de persistência que explora o arquivo de configuração zshenv, marcando a primeira vez que esse método foi explorado por autores de malware.
“Há algum valor nas versões atuais do macOS, já que a Apple introduziu notificações de usuário para objetos de login em segundo plano, como no macOS 13 Ventura”, disseram os pesquisadores.
“A notificação da Apple tem como objetivo avisar os usuários quando um método persistente é instalado, especialmente os LaunchAgents e LaunchDaemons comumente abusados. O abuso do Zshenv, no entanto, não aciona tal notificação nas versões atuais do macOS.”
O ator da ameaça também foi visto usando o registrador de domínios Namecheap para estabelecer uma infraestrutura focada em temas relacionados à criptomoeda, Web3 e investimentos para fornecer uma garantia de legitimidade. Quickpacket, Routerhosting e Hostwinds estão entre os provedores de hospedagem mais utilizados.
É importante notar que a série de ataques compartilha um certo grau de sobreposição com a campanha anterior que Kandji destacou em agosto de 2024, que também utilizou o aplicativo conta-gotas macOS “Aplicativo de fatores de risco de queda de preço de Bitcoin aparecem (2024)” para usar TodoSwift.
Não está claro o que levou os actores ameaçadores a mudarem as suas tácticas, e se isso foi em resposta ao relatório público. “Os atores norte-coreanos são conhecidos por sua criatividade, adaptabilidade e conhecimento de suas operações, então podemos estar vendo maneiras eficazes de sair de seu programa cibernético ofensivo”, disse Stokes ao Hacker News.
Outro aspecto da campanha é a capacidade do BlueNoroff de encontrar ou sequestrar contas válidas de desenvolvedores da Apple e usá-las para informar a Apple sobre seu malware.
“Nos últimos 12 meses, os ciberatores norte-coreanos se envolveram em uma série de campanhas contra indústrias relacionadas à criptografia, muitas das quais envolvem extensa ‘consertação’ de alvos por meio da mídia social”, disseram os pesquisadores.
“A campanha de Risco Oculto desta estratégia adota um método mais tradicional e mais grosseiro, embora não necessariamente, de phishing por e-mail. Apesar da franqueza do método de infecção inicial, alguns sinais de campanhas anteriores apoiadas pela RPDC são visíveis.”
Este desenvolvimento surge no meio de outras campanhas organizadas por hackers norte-coreanos para procurar emprego em várias empresas no Ocidente e distribuir malware usando códigos armadilhados e ferramentas de conferência para candidatos a emprego sob o lema de um desafio de recrutamento ou atribuição.
Dois conjuntos de entradas, chamados Wagemole (também conhecido como UNC5267) e Contagious Interview, pertencem a um grupo de ameaças seguido por Famous Chollima (também conhecido como CL-STA-0240 e Tenacious Pungsan).
A ESET, que deu à Contagious Interview o apelido de DeceptiveDevelopment, posicionou-a como um novo grupo do grupo Lazarus focado em atingir desenvolvedores independentes em todo o mundo para fins de crimes com criptomoedas.
“As campanhas Contagious Interview e Wagemole demonstram a evolução das táticas dos atores de ameaças norte-coreanos à medida que continuam a roubar informações, encontrar operações remotas em países ocidentais e contornar sanções financeiras”, disse Seongsu Park, pesquisador do Zscaler ThreatLabz, no início desta semana.
“Com técnicas sofisticadas de ofuscação, colaboração entre plataformas e roubo generalizado de dados, estas campanhas representam uma ameaça crescente tanto para empresas como para indivíduos.”
