BlueNoroff APT din Coreea de Nord lansează programul malware macOS „Dumbed Down”.

Hackerii de stat nord-coreeni au lansat un proaspăt program malware pentru Mac care vizează utilizatorii din SUA și Japonia, pe care cercetătorii îl caracterizează ca fiind „amuțit”, dar eficient.

Un braț al notoriului grup Lazarus din RPDC, BlueNoroff este cunoscut strânge bani pentru regimul Kim prin vizarea instituțiilor financiare - bănci, firme de capital de risc, schimburi de criptomonede și startup-uri — și persoanele care le folosesc.

De la începutul acestui an, cercetătorii de la Jamf Threat Labs urmăresc o campanie BlueNoroff pe care o numesc „RustBucket”, care vizează sistemele MacOS. În un blog publicat marți, au dezvăluit un nou domeniu rău intenționat care imită un schimb criptografic și un shell invers rudimentar numit „ObjCShellz”, pe care grupul îl folosește pentru a compromite noi ținte.

„Am văzut o mulțime de acțiuni din partea acestui grup în ultimele luni – nu doar noi, ci mai multe companii de securitate”, spune Jaron Bradley, director la Jamf Threat Labs. „Faptul că sunt capabili să-și atingă obiectivele folosind acest program malware idiot este cu siguranță notabil.”

Hackerii nord-coreeni vizează MacOS

Primul steag roșu al lui ObjCShellz a fost domeniul la care s-a conectat: swissborg[.]blog, cu o adresă ciudat de asemănătoare cu swissborg.com/blog, un site condus de schimbul legitim de criptomonede SwissBorg.

Acest lucru a fost în concordanță cu cele mai recente tactici de inginerie socială ale BlueNoroff. În campania RustBucket aflată în desfășurare, actorul amenințării a ajuns la ținte sub pretextul de a fi un recrutor sau investitor, purtând oferte sau potențial de parteneriat. A menține șiretlicul implică adesea înregistrarea de domenii de comandă și control (C2) care imită site-uri financiare legitime pentru a se integra cu activitatea obișnuită a rețelei, au explicat cercetătorii.

Exemplul de mai jos a fost surprins de echipa Jamf de pe site-ul web al unui fond legitim de capital de risc și folosit de BlueNoroff în eforturile sale de phishing.

După accesul inițial, vine Malware bazat pe MacOS - o tendință în creștere și recenta specialitate BlueNoroff.

„Ei vizează dezvoltatorii și indivizii care dețin aceste criptomonede”, explică Bradley și, într-un mod oportunist, grupul nu s-a mulțumit să-i vizeze doar pe cei care folosesc un singur sistem de operare. „Puteți urmări o victimă pe un computer Windows, dar de multe ori acești utilizatori vor fi pe Mac. Deci, dacă optați să nu vizați acea platformă, atunci puteți renunța la o cantitate foarte mare de criptomonede care ar putea fi furată.”

Din punct de vedere tehnic, totuși, ObjCShellz este cu totul simplist - un simplu shell invers pentru computerele Apple, care permite executarea comenzilor de pe serverul unui atacator. (Cercetătorii bănuiesc că acest instrument este utilizat în etapele târzii ale atacurilor în mai multe etape.)

Binarul a fost încărcat o dată din Japonia în septembrie și de trei ori de pe o IP din SUA la mijlocul lunii octombrie, au adăugat cercetătorii Jamf.

În lumina succeselor BlueNoroff în furtul cripto, Bradley îndeamnă utilizatorii de Mac să rămână la fel de vigilenți ca și frații lor Windows.

„Există o mulțime de înțelegeri false despre modul în care Mac-urile sunt în mod inerent sigure și, cu siguranță, există ceva adevăr în asta”, spune el. „Mac este un sistem de operare sigur. Dar când vine vorba de inginerie socială, oricine este susceptibil să ruleze ceva rău intenționat pe computerul său.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-apt-dumbed-down-macos-malware