Hidden Risk Malware

Eine neue Kampagne der nordkoreanischen Bedrohungsgruppe BlueNoroff zielt auf Kryptowährungsunternehmen ab und verwendet eine ausgeklügelte mehrstufige Malware, die auf macOS-Systeme abzielt. Die von den Forschern als „Hidden Risk“ bezeichnete Kampagne lockt Opfer mit E-Mails, die erfundene Nachrichten über die jüngsten Entwicklungen auf dem Kryptowährungsmarkt enthalten. Die an diesen Angriffen beteiligte Malware verwendet eine innovative Persistenztechnik auf macOS, die so konzipiert ist, dass sie von den neuesten Systemupdates nicht erkannt wird und Sicherheitswarnungen effektiv umgeht.

BlueNoroff ist eine Cybercrime-Gruppe, die für den Diebstahl von Kryptowährungen berüchtigt ist und bereits macOS-Systeme ins Visier genommen hat. Bei früheren Angriffen verwendeten sie eine Payload namens ObjCShellz, mit der sie Remote-Shells auf kompromittierten Macs einrichten konnten.

So verläuft die versteckte Zwieback-Infektionskette

Der Angriff beginnt mit der Zustellung einer Phishing-E-Mail, die scheinbar Nachrichten zu Kryptowährungen enthält und oft als weitergeleitete Nachricht eines bekannten Krypto-Influencers präsentiert wird, um ihr Glaubwürdigkeit zu verleihen. Die E-Mail enthält einen Link, der angeblich zu einem PDF mit wichtigen Informationen führt, leitet das Opfer jedoch tatsächlich auf eine von den Angreifern kontrollierte Domäne, delphidigital.org, um.

Forscher haben beobachtet, dass die URL derzeit eine harmlose Version eines Bitcoin-ETF-Dokuments mit wechselnden Titeln hostet, obwohl sie manchmal zur ersten Phase eines unsicheren Anwendungspakets mit dem Titel „Verstecktes Risiko hinter dem neuen Anstieg von Bitcoin Price.app“ führt.

Für diese Kampagne verwendete der Bedrohungsakteur eine legitime wissenschaftliche Arbeit der University of Texas als Tarnung. Die erste Phase des Angriffs umfasst eine Dropper-Anwendung, die unter einer gültigen Apple Developer ID, „Avantis Regtech Private Limited (2S8XHJ7948)“, unterzeichnet und notariell beglaubigt wurde, die Apple inzwischen widerrufen hat.

Nach der Ausführung lädt der Dropper ein Schein-PDF von einem Google Drive-Link herunter und öffnet es im Standard-PDF-Viewer, um das Opfer abzulenken. In der Zwischenzeit wird die nächste Stufe des Angriffs heimlich von matuaner.com heruntergeladen. Insbesondere haben die Angreifer die Info.plist-Datei der App geändert, um unsichere HTTP-Verbindungen zu ihrer Domain zuzulassen und so die App Transport Security-Protokolle von Apple effektiv zu umgehen.

Ein neuartiger Persistenzmechanismus, der durch das versteckte Risiko ausgenutzt wird

Die Nutzlast der zweiten Stufe, genannt „Growth“, ist eine x86_64 Mach-O-Binärdatei, die sowohl auf Intel- als auch auf Apple Silicon-Geräten läuft, die mit dem Rosetta-Emulationsframework ausgestattet sind. Sie stellt die Persistenz sicher, indem sie die versteckte .zshenv-Konfigurationsdatei im Home-Verzeichnis des Benutzers ändert, die während Zsh-Sitzungen geladen wird.

Um eine erfolgreiche Infektion zu bestätigen und die Persistenz aufrechtzuerhalten, erstellt die Malware eine versteckte „Touch-Datei“ im Verzeichnis /tmp/, die dazu beiträgt, dass die Nutzlast auch nach Neustarts oder Benutzeranmeldungen aktiv bleibt. Mit dieser Technik kann sie die Persistenzerkennungssysteme von macOS 13 und höher umgehen, die Benutzer normalerweise warnen, wenn neue LaunchAgents installiert werden. Indem die Malware das System mit einer bösartigen Zshenv-Datei infiziert, etabliert sie eine stärkere Form der Persistenz. Obwohl diese Methode nicht ganz neu ist, ist es das erste Mal, dass Forscher sie bei Live-Angriffen von Malware-Autoren eingesetzt gesehen haben.

Sobald sich die Hintertür im System festgesetzt hat, verbindet sie sich mit dem Command-and-Control-Server (C2) und sucht alle 60 Sekunden nach neuen Befehlen. Die von ihr verwendete User-Agent-Zeichenfolge wurde mit früheren Angriffen in Verbindung gebracht, die BlueNoroff im Jahr 2023 zugeschrieben wurden. Zu den beobachteten Befehlen gehören das Herunterladen und Ausführen zusätzlicher Payloads, das Ausführen von Shell-Befehlen zum Ändern oder Stehlen von Dateien oder das vollständige Anhalten des Prozesses.

Experten weisen darauf hin, dass die Hidden Risk-Kampagne seit 12 Monaten aktiv ist und einen direkteren Phishing-Ansatz verfolgt als die typische Social-Media-„Grooming“-Strategie, die bei anderen nordkoreanischen Hackeroperationen zu beobachten ist. Forscher weisen auch darauf hin, dass BlueNoroff weiterhin in der Lage ist, neue Apple-Entwicklerkonten zu sichern und ihre Payloads notariell beglaubigen zu lassen, wodurch sie den Schutz von macOS Gatekeeper umgehen können.