Севернокорейските крадци на криптовалута отново се насочват към потребителите на macOS с нова кампания за зловреден софтуер, която използва фишинг имейли, фалшиви PDF приложения и нова техника за заобикаляне на мерките за сигурност на Apple.
Според прясно проучване на SentinelOne известният хакерски екип BlueNoroff е бил хванат да изпраща фишинг примамки с фалшиви новинарски заглавия или истории по теми, свързани с криптовалутите, на цели в децентрализираните финансови (DeFi) и криптовалутни бизнеси.
Вътре в имейлите подкрепяните от севернокорейското правителство хакери са вграждали зловредно приложение за macOS, маскирано като връзка към PDF документ, свързан с криптовалутна тема, като например „Скритият риск зад новия скок на цената на биткойн“, „Алткойн сезон 2.0 – скритите скъпоценни камъни, които трябва да се наблюдават“ и „Нова ера за стабилните монети и DeFi, CeFi“.
От SentinelOne заявиха, че кампанията, наречена „Скрит риск“, също така злоупотребява с конфигурационния файл „zshenv“, за да поддържа устойчивост, без да задейства известията за промяна на фонови елементи на macOS Ventura.
Известията на macOS са предназначени да предупреждават потребителите за промени в общи методи за устойчивост като LaunchAgents и LaunchDaemons.
Според документацията на SentinelOne злонамереният софтуер от първия етап е приложение за macOS, написано на Swift, с име, идентично с това на вградения PDF документ. Приложението е подписано и нотариално заверено с помощта на легитимен идентификатор на разработчик на Apple (след като е отнет) и при изпълнението си изтегля примамлив PDF файл от връзка в Google Drive и го отваря с помощта на PDF браузъра по подразбиране на macOS, за да не предизвика подозрение.
Успоредно с това изследователите на SentinelOne наблюдават, че зловредният софтуер изтегля и изпълнява зловредна x86-64 двоична програма от твърдо кодиран URL адрес. Приложението заобикаля функциите за сигурност на macOS, като посочва изключения в своя файл Info.plist, за да позволи несигурни HTTP връзки, казват компаниите.
Компанията също така документира използването на задна врата на втори етап, която събира системна информация, генерира уникален идентификатор и установява комуникация със сървър за командване и контрол (C2).
SentinelOne заяви, че задната врата е програмирана да изпраща версията на операционната система, модела на хардуера и списъка на процесите към C2 сървъра и очаква по-нататъшни инструкции.
BlueNoroff е публично документирана като подгрупа в рамките на севернокорейската APT операция Lazarus. групата е специализирана във финансови киберпрестъпления, по-специално насочена към банки и борси за криптовалути за финансиране на севернокорейския режим.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.