Un acteur malveillant ayant des liens avec la République populaire démocratique de Corée (RPDC) a été observé ciblant des entreprises liées aux crypto-monnaies avec un malware à plusieurs étapes capable de infecter les appareils Apple macOS.
La société de cybersécurité SentinelOne, qui a baptisé la campagne Risque cachél’a attribué avec une grande confiance à BlueNoroff, qui a déjà été lié à des familles de logiciels malveillants telles que RustBucket, KANDYKORN, ObjCShellz, RustDoor (alias Thiefbucket) et TodoSwift.
L’activité « utilise des e-mails propageant de fausses nouvelles sur les tendances des cryptomonnaies pour infecter des cibles via une application malveillante déguisée en fichier PDF », selon les chercheurs Raffaele Sabato, Phil Stokes et Tom Hegel. dit dans un rapport partagé avec The Hacker News.
« La campagne a probablement commencé dès juillet 2024 et utilise des leurres par courrier électronique et PDF avec de faux titres d’actualités ou des histoires sur des sujets liés à la cryptographie. »
Comme révélé Selon le Federal Bureau of Investigation (FBI) des États-Unis dans un avis de septembre 2024, ces campagnes font partie d’attaques d’« ingénierie sociale hautement personnalisées et difficiles à détecter » visant les employés travaillant dans les secteurs de la finance décentralisée (DeFi) et des cryptomonnaies.
Les attaques prennent la forme de fausses opportunités d’emploi ou d’investissements d’entreprise, s’attaquant à leurs cibles pendant de longues périodes afin d’instaurer la confiance avant de diffuser des logiciels malveillants.
SentinelOne a déclaré avoir observé une tentative de phishing par e-mail sur une industrie liée à la cryptographie fin octobre 2024, qui a livré une application compte-gouttes imitant un fichier PDF (« Hidden Risk Behind New Surge of Bitcoin Price.app ») hébergé sur delphidigital.[.]org.
L’application, écrite dans le langage de programmation Swift, a été signée et notariée le 19 octobre 2024, avec l’identifiant de développeur Apple « Avantis Regtech Private Limited (2S8XHJ7948). » La signature a depuis été révoquée par le fabricant d’iPhone.
Au lancement, l’application télécharge et affiche à la victime un fichier PDF leurre récupéré de Google Drive, tout en récupérant secrètement un exécutable de deuxième étape à partir d’un serveur distant et en l’exécutant. Exécutable Mach-O x86-64, le binaire non signé basé sur C++ agit comme une porte dérobée pour exécuter des commandes à distance.
La porte dérobée intègre également un nouveau mécanisme de persistance qui exploite le fichier de configuration zshenv, ce qui constitue la première fois que la technique est utilisée de manière abusive par les auteurs de logiciels malveillants.
« Cela revêt une valeur particulière sur les versions modernes de macOS depuis qu’Apple a introduit les notifications utilisateur pour les éléments de connexion en arrière-plan à partir de macOS 13 Ventura », ont déclaré les chercheurs.
« La notification d’Apple vise à avertir les utilisateurs lorsqu’une méthode de persistance est installée, en particulier les LaunchAgents et LaunchDaemons souvent abusés. L’abus de Zshenv, cependant, ne déclenche pas une telle notification dans les versions actuelles de macOS. »
L’acteur menaçant a également été observé utilisant le registraire de domaine Namecheap pour établir une infrastructure centrée sur des thèmes liés à la crypto-monnaie, au Web3 et aux investissements afin de lui donner un vernis de légitimité. Quickpacket, Routerhosting et Hostwinds sont parmi les fournisseurs d’hébergement les plus couramment utilisés.
Il convient de noter que la chaîne d’attaque partage un certain niveau de chevauchement avec une campagne précédente que Kandji a soulignée en août 2024, qui utilisait également une application de compte-gouttes macOS du même nom « Les facteurs de risque de baisse du prix du Bitcoin émergent (2024).app » pour déployer TodoSwift. .
On ne sait pas exactement ce qui a poussé les acteurs de la menace à changer de tactique, ni si c’est en réponse à des informations publiques. « Les acteurs nord-coréens sont connus pour leur créativité, leur adaptabilité et leur connaissance des rapports sur leurs activités, il est donc tout à fait possible que nous voyions simplement différentes méthodes efficaces émerger de leur cyber-programme offensif », a déclaré Stokes à The Hacker News.
Un autre aspect préoccupant de la campagne est la capacité de BlueNoroff à acquérir ou à détourner des comptes de développeurs Apple valides et à les utiliser pour que leurs logiciels malveillants soient notariés par Apple.
« Au cours des 12 derniers mois environ, les cyberacteurs nord-coréens se sont engagés dans une série de campagnes contre les industries liées à la cryptographie, dont beaucoup impliquaient un « toilettage » approfondi de cibles via les médias sociaux », ont indiqué les chercheurs.
« La campagne Hidden Risk s’écarte de cette stratégie en adoptant une approche de phishing par courrier électronique plus traditionnelle et plus grossière, mais pas nécessairement moins efficace. Malgré la brutalité de la méthode d’infection initiale, d’autres caractéristiques des précédentes campagnes soutenues par la RPDC sont évidentes. »
Cette évolution intervient également au milieu d’autres campagnes orchestrées par des pirates informatiques nord-coréens pour rechercher un emploi dans diverses entreprises occidentales et diffuser des logiciels malveillants utilisant des bases de code piégées et des outils de conférence aux candidats à la recherche d’emploi sous couvert d’un défi d’embauche ou d’une mission.
Les deux ensembles d’intrusions, baptisés Wagemole (alias UNC5267) et Contagious Interview, ont été attribués à un groupe menaçant suivi sous le nom de Famous Chollima (alias CL-STA-0240 et Tenacious Pungsan).
ESET, qui a donné le surnom de Contagious Interview Développement Trompeurl’a classé comme un nouveau cluster d’activités du groupe Lazarus axé sur le ciblage des développeurs indépendants du monde entier dans le but de voler des crypto-monnaies.
« Les campagnes Contagious Interview et Wagemole mettent en évidence l’évolution des tactiques des acteurs nord-coréens de la menace alors qu’ils continuent de voler des données, de décrocher des emplois à distance dans les pays occidentaux et de contourner les sanctions financières », a déclaré Seongsu Park, chercheur au Zscaler ThreatLabz. dit plus tôt cette semaine.
« Avec des techniques d’obscurcissement raffinées, une compatibilité multiplateforme et un vol de données généralisé, ces campagnes représentent une menace croissante pour les entreprises et les particuliers. »