L’acteur nord-coréen de la menace BlueNoroff cible les entreprises liées à la cryptographie avec un nouveau malware à plusieurs étapes pour les systèmes macOS.
Les chercheurs appellent la campagne Hidden Risk et disent qu’elle attire les victimes avec des courriels qui partagent de fausses nouvelles sur les dernières activités du secteur de la crypto-monnaie.
Le malware déployé dans ces attaques repose sur un nouveau mécanisme de persistance sur macOS qui ne déclenche aucune alerte sur les dernières versions du système d’exploitation, échappant ainsi à la détection.
BlueNoroff est connu pour les vols de crypto-monnaie et a ciblé macOS dans le passé en utilisant un malware de charge utile appelé « ObjCShellz » pour ouvrir des shells distants sur des Mac compromis.
Chaîne d’infection
Les attaques commencent par un e-mail de phishing contenant des informations et des sujets liés à la cryptographie, présentés comme transmis par un influenceur de crypto-monnaie pour plus de crédibilité.
Le message est accompagné d’un lien censé lire un PDF relatif à l’information, mais pointe vers le » delphidigital[.] org » domaine contrôlé par les attaquants.
Selon les chercheurs de SentinelLabs, « l’URL sert actuellement une forme bénigne du document Bitcoin ETF avec des titres qui diffèrent au fil du temps », mais parfois elle sert la première étape d’un ensemble d’applications malveillantes appelé » Risque caché Derrière une Nouvelle flambée du prix du Bitcoin.application ».
Les chercheurs disent que pour la campagne Hidden Risk, l’auteur de la menace a utilisé une copie d’un véritable article universitaire de l’Université du Texas.
La première étape est une application compte-gouttes signée et notariée à l’aide d’un identifiant de développeur Apple valide, « Avantis Reg tech Private Limited (2S8XHJ7948) », qu’Apple a maintenant révoqué.
Une fois exécuté, le compte-gouttes télécharge un PDF leurre à partir d’un lien Google Drive et l’ouvre dans la visionneuse PDF par défaut pour distraire la victime. En arrière-plan, cependant, la charge utile de l’étape suivante est téléchargée à partir de « matuaner[.] com. »
Notamment, les pirates ont manipulé les informations de l’application. fichier plist pour autoriser les connexions HTTP non sécurisées au domaine contrôlé par l’attaquant, remplaçant essentiellement les politiques de sécurité de transport des applications d’Apple.
Porte dérobée principale et nouveau mécanisme de persistance
La charge utile de la deuxième étape, appelée « croissance », est un binaire Mach-O x86_64 qui s’exécute uniquement sur les périphériques Intel et Apple Silicon dotés du framework d’émulation Rosetta.
Il réalise la persistance sur le système en modifiant le « .fichier de configuration » zshenv », qui est caché dans le répertoire personnel de l’utilisateur et se charge pendant les sessions Zsh.
Le logiciel malveillant installe un « fichier tactile » caché dans le répertoire /tmp / pour marquer l’infection et la persistance réussies, garantissant que la charge utile reste active lors des redémarrages et des sessions utilisateur.
Cette méthode permet de contourner les systèmes de détection de persistance introduits par Apple dans macOS 13 et versions ultérieures, qui alertent les utilisateurs via des notifications lorsque des agents de lancement sont installés sur leur système.
« Infecter l’hôte avec un fichier Zshenv malveillant permet une forme de persistance plus puissante », explique SentinelLabs.
« Bien que cette technique ne soit pas inconnue, c’est la première fois que nous l’observons utilisée dans la nature par des auteurs de logiciels malveillants. »
Une fois imbriquée dans le système, la porte dérobée se connecte au serveur de commande et de contrôle (C2), vérifiant les nouvelles commandes toutes les 60 secondes. La chaîne user-agent utilisée pour cela a déjà été vue lors d’attaques en 2023 attribuées à BlueNoroff.
Les commandes observées sont pour télécharger et exécuter des charges utiles supplémentaires, exécuter des commandes shell pour manipuler ou exfiltrer des fichiers, ou quitter (arrêter le processus).
SentinelLabs affirme que la campagne » Risque caché « est en cours depuis environ 12 mois, suivant une approche de phishing plus directe qui n’implique pas le » toilettage » typique sur les réseaux sociaux auquel se livrent d’autres pirates informatiques de la RPDC.
Les chercheurs notent également que BlueNoroff a montré une capacité constante à se procurer de nouveaux comptes de développeurs Apple et à faire certifier leurs charges utiles pour contourner macOS Gatekeeper.