BlueNoroff APT da Coreia do Norte estreia malware macOS 'emburrecedor'

Hackers estatais norte-coreanos lançaram um novo malware para Mac direcionado a usuários nos EUA e no Japão, que os pesquisadores caracterizam como “simplificado”, mas eficaz.

Um braço do notório Grupo Lazarus da RPDC, o BlueNoroff é conhecido por arrecadar dinheiro para o regime de Kim visando instituições financeiras – bancos, empresas de capital de risco, exchanges e startups de criptomoedas – e os indivíduos que os utilizam.

Desde o início deste ano, pesquisadores do Jamf Threat Labs têm rastreado uma campanha BlueNoroff que eles chamam de “RustBucket”, visando sistemas MacOS. Em um blog publicado na terça-feira, eles revelaram um novo domínio malicioso que imita uma troca de criptografia e um shell reverso rudimentar chamado “ObjCShellz”, que o grupo está usando para comprometer novos alvos.

“Vimos muitas ações desse grupo nos últimos meses – não apenas nós, mas várias empresas de segurança”, diz Jaron Bradley, diretor do Jamf Threat Labs. “O fato de eles serem capazes de atingir seus objetivos usando esse malware simplificado é definitivamente notável.”

Hackers norte-coreanos visando MacOS

A primeira bandeira vermelha do ObjCShellz foi o domínio ao qual ele se conectou: swissborg[.]blog, com um endereço estranhamente semelhante ao swissborg.com/blog, um site administrado pela legítima exchange de criptomoedas SwissBorg.

Isto era consistente com as mais recentes táticas de engenharia social da BlueNoroff. Em sua campanha RustBucket em andamento, o agente da ameaça tem alcançado os alvos sob o pretexto de ser um recrutador ou investidor, trazendo ofertas ou potencial para parceria. Manter o estratagema muitas vezes envolve registrar domínios de comando e controle (C2) que imitam sites financeiros legítimos, a fim de se misturar com a atividade normal da rede, explicaram os pesquisadores.

O exemplo abaixo foi capturado pela equipe Jamf do site de um fundo de capital de risco legítimo e usado pela BlueNoroff em seus esforços de phishing.

Após o acesso inicial vem o seu Malware baseado em MacOS — uma tendência crescente e especialidade recente da BlueNoroff.

“Eles têm como alvo desenvolvedores e indivíduos que possuem essas criptomoedas”, explica Bradley, e, de forma oportunista, o grupo não se contentou em atingir apenas aqueles que usam um sistema operacional. “Você poderia ir atrás de uma vítima em um computador Windows, mas muitas vezes esses usuários estarão no Mac. Portanto, se você optar por não atingir essa plataforma, estará potencialmente optando por não receber uma grande quantidade de criptomoedas que poderia ser roubada.”

Do ponto de vista técnico, entretanto, o ObjCShellz é totalmente simplista – um simples shell reverso para computadores Apple, permitindo a execução de comandos do servidor de um invasor. (Os pesquisadores suspeitam que esta ferramenta seja usada nos estágios finais de ataques em vários estágios.)

O binário foi carregado uma vez do Japão em setembro e três vezes de um IP baseado nos EUA em meados de outubro, acrescentaram os pesquisadores do Jamf.

À luz do sucesso da BlueNoroff no roubo de criptografia, Bradley incentiva os usuários de Mac a permanecerem tão vigilantes quanto seus irmãos do Windows.

“Há muitos entendimentos falsos sobre como os Macs são inerentemente seguros e há definitivamente alguma verdade nisso”, diz ele. “Mac é um sistema operacional seguro. Mas quando se trata de engenharia social, qualquer pessoa é suscetível de executar algo malicioso no seu computador.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware