Se ha observado que un actor de amenazas con vínculos con la República Popular Democrática de Corea (RPDC) apunta a empresas relacionadas con criptomonedas con un malware de múltiples etapas capaz de infectar dispositivos Apple macOS.
La empresa de ciberseguridad SentinelOne, que denominó la campaña Riesgo ocultolo atribuyó con gran confianza a BlueNoroff, que anteriormente se había vinculado a familias de malware como RustBucket, KANDYKORN, ObjCShellz, RustDoor (también conocido como Thiefbucket) y TodoSwift.
La actividad “utiliza correos electrónicos que propagan noticias falsas sobre tendencias en criptomonedas para infectar objetivos a través de una aplicación maliciosa disfrazada de archivo PDF”, afirman los investigadores Raffaele Sabato, Phil Stokes y Tom Hegel. dicho en un informe compartido con The Hacker News.
“La campaña probablemente comenzó en julio de 2024 y utiliza correos electrónicos y PDF como señuelos con titulares de noticias falsos o historias sobre temas relacionados con las criptomonedas”.
Como reveló Según la Oficina Federal de Investigaciones (FBI) de EE. UU. en un aviso de septiembre de 2024, estas campañas son parte de ataques de “ingeniería social altamente personalizados y difíciles de detectar” dirigidos a empleados que trabajan en los sectores de finanzas descentralizadas (DeFi) y criptomonedas.
Los ataques toman la forma de oportunidades laborales falsas o inversiones corporativas, interactuando con sus objetivos durante períodos prolongados para generar confianza antes de distribuir malware.
SentinelOne dijo que observó un intento de phishing por correo electrónico en una industria relacionada con las criptomonedas a finales de octubre de 2024 que entregaba una aplicación cuentagotas que imitaba un archivo PDF (“Riesgo oculto detrás del nuevo aumento de Bitcoin Price.app”) alojado en delphidigital.[.]org.
Se descubrió que la aplicación, escrita en el lenguaje de programación Swift, estaba firmada y certificada ante notario el 19 de octubre de 2024, con el ID de desarrollador de Apple “Avantis Regtech Private Limited (2S8XHJ7948)”. Desde entonces, el fabricante del iPhone ha revocado la firma.
Al iniciarse, la aplicación descarga y muestra a la víctima un archivo PDF señuelo recuperado de Google Drive, mientras recupera de forma encubierta un ejecutable de segunda etapa de un servidor remoto y lo ejecuta. Un ejecutable Mach-O x86-64, el binario sin firmar basado en C++ actúa como una puerta trasera para ejecutar comandos remotos.
La puerta trasera también incorpora un novedoso mecanismo de persistencia que abusa del archivo de configuración zshenv, lo que marca la primera vez que los autores de malware abusan de la técnica en la naturaleza.
“Tiene un valor particular en las versiones modernas de macOS desde que Apple introdujo notificaciones de usuario para elementos de inicio de sesión en segundo plano a partir de macOS 13 Ventura”, dijeron los investigadores.
“La notificación de Apple tiene como objetivo advertir a los usuarios cuando se instala un método de persistencia, particularmente LaunchAgents y LaunchDaemons, de los que se abusa con frecuencia. Sin embargo, abusar de Zshenv no activa dicha notificación en las versiones actuales de macOS”.
También se ha observado que el actor de amenazas utiliza el registrador de dominios Namecheap para establecer una infraestructura centrada en temas relacionados con criptomonedas, Web3 e inversiones para darle un barniz de legitimidad. Quickpacket, Routerhosting y Hostwinds se encuentran entre los proveedores de alojamiento más utilizados.
Vale la pena señalar que la cadena de ataque comparte cierto nivel de superposición con una campaña anterior que Kandji destacó en agosto de 2024, que también empleó una aplicación cuentagotas de macOS con un nombre similar “Los factores de riesgo para la caída del precio de Bitcoin están surgiendo (2024).app” para implementar TodoSwift. .
No está claro qué impulsó a los actores de amenazas a cambiar sus tácticas, y si fue en respuesta a informes públicos. “Los actores norcoreanos son conocidos por su creatividad, adaptabilidad y conocimiento de los informes sobre sus actividades, por lo que es muy posible que simplemente estemos viendo diferentes métodos exitosos que emergen de su programa cibernético ofensivo”, dijo Stokes a The Hacker News.
Otro aspecto preocupante de la campaña es la capacidad de BlueNoroff para adquirir o secuestrar cuentas válidas de desarrolladores de Apple y utilizarlas para que Apple certifique ante notario su malware.
“Durante los últimos 12 meses aproximadamente, los ciberactores norcoreanos han participado en una serie de campañas contra las industrias relacionadas con las criptomonedas, muchas de las cuales implicaron una amplia ‘preparación’ de objetivos a través de las redes sociales”, dijeron los investigadores.
“La campaña Riesgo Oculto se desvía de esta estrategia adoptando un enfoque de phishing por correo electrónico más tradicional y más crudo, aunque no necesariamente menos efectivo. A pesar de la brusquedad del método de infección inicial, otras características de campañas anteriores respaldadas por la RPDC son evidentes”.
El desarrollo también se produce en medio de otras campañas orquestadas por piratas informáticos norcoreanos para buscar empleo en varias empresas de Occidente y entregar malware utilizando bases de código con trampas explosivas y herramientas de conferencia a posibles solicitantes de empleo con el pretexto de un desafío de contratación o una asignación.
Los dos conjuntos de intrusión, denominados Wagemole (también conocido como UNC5267) y Contagious Interview, se han atribuido a un grupo de amenazas rastreado como Famous Chollima (también conocido como CL-STA-0240 y Tenacious Pungsan).
ESET, que le ha dado el apodo a Contagious Interview EngañosoDesarrollolo ha clasificado como un nuevo grupo de actividades del Grupo Lazarus que se centra en desarrolladores independientes de todo el mundo con el objetivo de robar criptomonedas.
“Las campañas Contagious Interview y Wagemole muestran las tácticas en evolución de los actores de amenazas norcoreanos a medida que continúan robando datos, obteniendo trabajos remotos en países occidentales y eludiendo sanciones financieras”, dijo el investigador de Zscaler ThreatLabz, Seongsu Park. dicho a principios de esta semana.
“Con técnicas de ofuscación refinadas, compatibilidad multiplataforma y robo de datos generalizado, estas campañas representan una amenaza creciente tanto para las empresas como para los individuos”.