Des acteurs menaçants ayant des liens avec la République populaire démocratique de Corée (RPDC, alias Corée du Nord) ont été découverts en train d’intégrer des logiciels malveillants dans les applications Flutter, marquant la première fois que cette tactique est adoptée par l’adversaire pour infecter les appareils Apple macOS.
Jamf Threat Labs, qui a fait la découverte sur la base d’artefacts téléchargés sur la plate-forme VirusTotal plus tôt ce mois-ci, a déclaré que les applications construites par Flutter faisaient partie d’une activité plus large incluant des logiciels malveillants écrits en Golang et Python.
On ne sait pas actuellement comment ces échantillons sont distribués aux victimes, ni s’ils ont été utilisés contre des cibles, ou si les attaquants adoptent une nouvelle méthode de livraison. Cela dit, les acteurs nord-coréens de la menace sont connus pour s’engager dans de vastes efforts d’ingénierie sociale ciblant les employés des entreprises de cryptomonnaie et de finance décentralisée.
« Nous pensons que ces exemples spécifiques sont des tests », a déclaré Jaron Bradley, directeur de Jamf Threat Labs, à The Hacker News. « Il est possible qu’ils n’aient pas encore été distribués. C’est difficile à dire. Mais oui. Les techniques d’ingénierie sociale des attaquants ont très bien fonctionné dans le passé et nous pensons qu’ils continueront à utiliser ces techniques. »
Jamf n’a pas attribué l’activité malveillante à un groupe de piratage spécifique lié à la Corée du Nord, bien qu’il ait déclaré qu’il pourrait s’agir probablement du travail d’un sous-groupe de Lazarus connu sous le nom de BlueNoroff. Cette connexion découle des chevauchements d’infrastructures avec des logiciels malveillants appelés KANDYKORN et de la campagne Hidden Risk récemment mise en évidence par Sentinel One.
Ce qui distingue le nouveau malware, c’est l’utilisation de l’application Flutter, un framework de développement d’applications multiplateforme, pour intégrer la charge utile principale écrite dans Dart, tout en se faisant passer pour un jeu de démineur entièrement fonctionnel. L’application est nommée « Nouvelles mises à jour dans Crypto Exchange (2024-08-28). »
De plus, le jeu semble être un clone d’un jeu Flutter de base pour iOS qui est accessible au public sur GitHub. Il convient de souligner que l’utilisation de leurres sur le thème du jeu a également été observée en collaboration avec un autre groupe de piratage nord-coréen suivi sous le nom de Moonstone Sleet.
Ces applications ont également été signées et notariées à l’aide des identifiants de développeur Apple BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) et FAIRBANKS CURLING CLUB INC. (6W69GC943U), ce qui suggère que les acteurs malveillants sont en mesure de contourner le processus de notarisation d’Apple. Les signatures ont depuis été révoquées par Apple.
Une fois lancé, le malware envoie une requête réseau à un serveur distant (« mbupdate.linkpc[.]net ») et est configuré pour exécuter le code AppleScript reçu du serveur, mais pas avant qu’il soit écrit à l’envers.
Jamf a déclaré avoir également identifié des variantes du malware écrites en Go et Python, ce dernier étant construit avec Py2App. Les applications – nommées NewEra pour Stablecoins et DeFi, CeFi (Protected).app et Runner.app – sont équipées de fonctionnalités similaires pour exécuter toute charge utile AppleScript reçue dans la réponse HTTP du serveur.
Ce dernier développement est le signe que les acteurs malveillants de la RPDC développent activement des logiciels malveillants utilisant plusieurs langages de programmation pour infiltrer les sociétés de crypto-monnaie.
« Les logiciels malveillants découverts par l’acteur au cours des dernières années se présentent sous de nombreuses variantes différentes avec des itérations fréquemment mises à jour », a déclaré Bradley. « Nous soupçonnons cela dans le but de rester non détectés et de conserver un aspect différent des logiciels malveillants à chaque version. Dans le cas du langage Dart, nous pensons que c’est parce que les acteurs ont découvert que les applications Flutter sont très obscures en raison de leur architecture une fois compilées. »