Търсене
Close this search box.

Севернокорейските крадци на криптовалута отново се насочват към потребителите на macOS с нова кампания за зловреден софтуер, която използва фишинг имейли, фалшиви PDF приложения и нова техника за заобикаляне на мерките за сигурност на Apple.

Според прясно проучване на SentinelOne известният хакерски екип BlueNoroff е бил хванат да изпраща фишинг примамки с фалшиви новинарски заглавия или истории по теми, свързани с криптовалутите, на цели в децентрализираните финансови (DeFi) и криптовалутни бизнеси.

Вътре в имейлите подкрепяните от севернокорейското правителство хакери са вграждали зловредно приложение за macOS, маскирано като връзка към PDF документ, свързан с криптовалутна тема, като например „Скритият риск зад новия скок на цената на биткойн“, „Алткойн сезон 2.0 – скритите скъпоценни камъни, които трябва да се наблюдават“ и „Нова ера за стабилните монети и DeFi, CeFi“.

От SentinelOne заявиха, че кампанията, наречена „Скрит риск“, също така злоупотребява с конфигурационния файл „zshenv“, за да поддържа устойчивост, без да задейства известията за промяна на фонови елементи на macOS Ventura.

Известията на macOS са предназначени да предупреждават потребителите за промени в общи методи за устойчивост като LaunchAgents и LaunchDaemons.

Според документацията на SentinelOne злонамереният софтуер от първия етап е приложение за macOS, написано на Swift, с име, идентично с това на вградения PDF документ. Приложението е подписано и нотариално заверено с помощта на легитимен идентификатор на разработчик на Apple (след като е отнет) и при изпълнението си изтегля примамлив PDF файл от връзка в Google Drive и го отваря с помощта на PDF браузъра по подразбиране на macOS, за да не предизвика подозрение.

Успоредно с това изследователите на SentinelOne наблюдават, че зловредният софтуер изтегля и изпълнява зловредна x86-64 двоична програма от твърдо кодиран URL адрес. Приложението заобикаля функциите за сигурност на macOS, като посочва изключения в своя файл Info.plist, за да позволи несигурни HTTP връзки, казват компаниите.

Компанията също така документира използването на задна врата на втори етап, която събира системна информация, генерира уникален идентификатор и установява комуникация със сървър за командване и контрол (C2).

SentinelOne заяви, че задната врата е програмирана да изпраща версията на операционната система, модела на хардуера и списъка на процесите към C2 сървъра и очаква по-нататъшни инструкции.

BlueNoroff е публично документирана като подгрупа в рамките на севернокорейската APT операция Lazarus. групата е специализирана във финансови киберпрестъпления, по-специално насочена към банки и борси за криптовалути за финансиране на севернокорейския режим.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
12/12/2024

Apple пусна големи актуализ...

В Купертино денят на кръпките е...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!