BlueNoroff APT de Corea del Norte presenta malware para macOS 'tonto'

BlueNoroff APT de Corea del Norte presenta malware para macOS 'tonto'

Marca de tiempo: 7 de noviembre de 2023 3:11 p.m.

Los piratas informáticos estatales de Corea del Norte han presentado un nuevo malware para Mac dirigido a usuarios de Estados Unidos y Japón, que los investigadores caracterizan como "simple" pero efectivo.

Se sabe que BlueNoroff, una rama del famoso Grupo Lazarus de la RPDC, recaudar dinero para el régimen de Kim apuntando a instituciones financieras (bancos, empresas de capital de riesgo, intercambios de criptomonedas y startups - y las personas que los utilizan.

Desde principios de este año, investigadores de Jamf Threat Labs han estado siguiendo una campaña de BlueNoroff a la que llaman “RustBucket”, dirigida a sistemas MacOS. En un blog publicado el martes, revelaron un nuevo dominio malicioso que imita un intercambio de cifrado y un shell inverso rudimentario llamado "ObjCShellz", que el grupo está utilizando para comprometer nuevos objetivos.

"Hemos visto muchas acciones de este grupo en los últimos meses, no solo nosotros, sino varias empresas de seguridad", dice Jaron Bradley, director de Jamf Threat Labs. "El hecho de que puedan lograr sus objetivos utilizando este malware simplificado es definitivamente notable".

Hackers norcoreanos apuntan a MacOS

La primera señal de alerta de ObjCShellz fue el dominio al que se conectaba: swissborg[.]blog, con una dirección inquietantemente similar a swissborg.com/blog, un sitio administrado por el legítimo intercambio de criptomonedas SwissBorg.

Esto era coherente con las últimas tácticas de ingeniería social de BlueNoroff. En su campaña RustBucket en curso, el actor de amenazas ha estado llegando a objetivos bajo el pretexto de ser un reclutador o un inversor, presentando ofertas o el potencial de asociación. Mantener la artimaña a menudo implica registrar dominios de comando y control (C2) que imitan sitios web financieros legítimos para integrarse con la actividad ordinaria de la red, explicaron los investigadores.

El siguiente ejemplo fue capturado por el equipo de Jamf del sitio web de un fondo de capital de riesgo legítimo y utilizado por BlueNoroff en sus esfuerzos de phishing.

Captura de pantalla de una página de inversión legítima que BlueNoroff utiliza en phishing
Fuente: Jamf

Después del acceso inicial viene su Malware basado en MacOS: una tendencia creciente y reciente especialidad de BlueNoroff.

"Están apuntando a desarrolladores e individuos que poseen estas criptomonedas", explica Bradley y, de manera oportunista, el grupo no se ha contentado con apuntar sólo a aquellos que usan un sistema operativo. “Se podría perseguir a una víctima en una computadora con Windows, pero muchas veces esos usuarios estarán en Mac. Entonces, si opta por no apuntar a esa plataforma, entonces potencialmente está excluyendo una gran cantidad de criptomonedas que podrían ser robadas”.

Sin embargo, desde un punto de vista técnico, ObjCShellz es completamente simplista: un shell inverso simple para computadoras Apple, que permite la ejecución de comandos desde el servidor de un atacante. (Los investigadores sospechan que esta herramienta se utiliza en las últimas etapas de ataques de varias etapas).

El binario se cargó una vez desde Japón en septiembre y tres veces desde una IP con sede en EE. UU. a mediados de octubre, agregaron los investigadores de Jamf.

A la luz de los éxitos de BlueNoroff en el robo de criptomonedas, Bradley insta a los usuarios de Mac a permanecer tan atentos como sus hermanos de Windows.

"Hay muchos conceptos erróneos sobre cómo los Mac son intrínsecamente seguros, y definitivamente hay algo de verdad en eso", afirma. “Mac es un sistema operativo seguro. Pero cuando se trata de ingeniería social, cualquiera es susceptible de ejecutar algo malicioso en su computadora”.

Sello de tiempo:

Mas de Lectura oscura