Se ha observado que un actor malicioso con vínculos con la República Popular Democrática de Corea (RPDC) apunta a empresas relacionadas con criptomonedas con malware de múltiples etapas capaz de infectar dispositivos Apple macOS.
La empresa de ciberseguridad SentinelOne, que nombró la campaña. Riesgo ocultoLo atribuyó con gran confianza a BlueNoroff, que anteriormente se ha vinculado a familias de malware como RustBucket, KANDYKORN, ObjCShellz, RustDoor (también conocido como Thiefbucket) y TodoSwift.
La actividad «utiliza correos electrónicos que difunden noticias falsas sobre tendencias en criptomonedas para infectar objetivos a través de una aplicación maliciosa disfrazada de archivo PDF», según los investigadores Raffaele Sabato, Phil Stokes y Tom Hegel. dicho en un informe compartido con The Hacker News.
«La campaña probablemente comenzó en julio de 2024 y utiliza correos electrónicos y PDF como señuelos con titulares de noticias falsos o historias sobre temas relacionados con las criptomonedas».
Como reveló Según la Oficina Federal de Investigaciones (FBI) de EE. UU. en un aviso de septiembre de 2024, estas campañas son parte de ataques de ingeniería social “altamente personalizados y difíciles de detectar” dirigidos a empleados que trabajan en sectores financieros descentralizados (DeFi) y criptomonedas.
Los ataques toman la forma de oportunidades laborales o inversiones comerciales falsas, aprovechándose de sus objetivos durante períodos prolongados para generar confianza antes de liberar malware.
SentinelOne dijo que observó un intento de phishing por correo electrónico en una industria relacionada con las criptomonedas a finales de octubre de 2024, que entregó una aplicación cuentagotas que imitaba un archivo PDF (“Riesgo oculto detrás del nuevo aumento de precios de Bitcoin.app”) alojado en delphidigital.[.]org.
La aplicación, escrita en el lenguaje de programación Swift, fue firmada y certificada ante notario el 19 de octubre de 2024 con el ID de desarrollador de Apple “Avantis Regtech Private Limited (2S8XHJ7948). » Desde entonces, el fabricante del iPhone ha revocado la firma.
Al iniciarse, la aplicación descarga y muestra a la víctima un archivo PDF señuelo recuperado de Google Drive, mientras busca en secreto un ejecutable de segunda etapa desde un servidor remoto y lo ejecuta. Un ejecutable Mach-O x86-64, el binario basado en C++ sin firmar actúa como una puerta trasera para ejecutar comandos de forma remota.
La puerta trasera también incorpora un nuevo mecanismo de persistencia que aprovecha el archivo de configuración zshenv, lo que marca la primera vez que los autores de malware abusan de la técnica.
«Esto es de particular valor en las versiones modernas de macOS, ya que Apple introdujo notificaciones de usuario para elementos de inicio de sesión en segundo plano a partir de macOS 13 Ventura», dijeron los investigadores.
«La notificación de Apple tiene como objetivo advertir a los usuarios cuando se instala un método de persistencia, particularmente los LaunchAgents y LaunchDaemons, de los que a menudo se abusa. Sin embargo, el abuso de Zshenv no activa dicha notificación en las versiones actuales de macOS. «
También se observó que el actor de amenazas utilizaba el registrador de dominios Namecheap para establecer una infraestructura centrada en criptomonedas, Web3 y temas de inversión para darle un barniz de legitimidad. Quickpacket, Routerhosting y Hostwinds son algunos de los proveedores de hosting más utilizados.
Vale la pena señalar que la cadena de ataque comparte cierto nivel de superposición con una campaña anterior que Kandji destacó en agosto de 2024, que también utilizó una aplicación de cuentagotas de macOS del mismo nombre Emerging Bitcoin (2024).app” para implementar TodoSwift. .
No está claro qué impulsó a los actores de amenazas a cambiar de táctica, o si fue en respuesta a información pública. «Los actores norcoreanos son conocidos por su creatividad, adaptabilidad y conocimiento para informar sobre sus actividades, por lo que es muy posible que simplemente estemos viendo diferentes métodos efectivos que emergen de su programa cibernético ofensivo», dijo Stokes a The Hacker News.
Otro aspecto preocupante de la campaña es la capacidad de BlueNoroff para adquirir o secuestrar cuentas válidas de desarrolladores de Apple y utilizarlas para que Apple certifique ante notario su malware.
«Durante los últimos 12 meses aproximadamente, los ciberactores norcoreanos han participado en una serie de campañas contra las industrias relacionadas con las criptomonedas, muchas de las cuales implicaron una amplia ‘preparación’ de objetivos a través de las redes sociales», dijeron los investigadores.
«La campaña Hidden Risk se aparta de esta estrategia al adoptar un enfoque de phishing por correo electrónico más tradicional y más crudo, pero no necesariamente menos efectivo. A pesar de la brutalidad del método de infección inicial, otras características de campañas anteriores apoyadas por la RPDC son obvias».
El desarrollo también se produce en medio de otras campañas orquestadas por piratas informáticos norcoreanos para buscar empleo en varias empresas occidentales y distribuir malware utilizando bases de códigos trampa y herramientas de conferencia a candidatos que buscan empleo bajo el pretexto de un desafío de contratación o una misión.
Los dos conjuntos de intrusiones, denominados Wagemole (también conocido como UNC5267) y Contagious Interview, se atribuyeron a un grupo de amenazas rastreado bajo el nombre de Famous Chollima (también conocido como CL-STA-0240 y Tenacious Pungsan).
ESET, que le puso el sobrenombre de Entrevista Contagiosa Desarrollo engañosolo clasificó como un nuevo grupo de actividades del Grupo Lazarus enfocado en apuntar a desarrolladores independientes en todo el mundo con el objetivo de robar criptomonedas.
“Las campañas Contagious Interview y Wagemole resaltan la evolución de las tácticas de los actores de amenazas norcoreanos a medida que continúan robando datos, obteniendo trabajos remotos en países occidentales y eludiendo sanciones financieras”, dijo Seongsu Park, investigador de Zscaler ThreatLabz. dicho a principios de esta semana.
«Con técnicas sofisticadas de ofuscación, compatibilidad entre plataformas y robo de datos generalizado, estas campañas representan una amenaza creciente para empresas e individuos».
