Северокорейских хакеров обвинили в массовых атаках на системы macOS криптокомпаний

Северокорейская группировка BlueNoroff проводит массовые атаки на компании, связанные с криптовалютами, с помощью нового многоэтапного вредоносного ПО для систем macOS. Исследователи называют эту хакерскую кампанию Hidden Risk и утверждают, что в рамках неё злоумышленники заманивают потенциальных жертв электронными письмами, содержащими фейковые новости о последних событиях в сфере криптовалют.

По словам экспертов из ИБ-компании SentinelLabs, вредоносное ПО, используемое в этих атаках, использует новый механизм сохранения в macOS, который не вызывает никаких оповещений в последних версиях операционной системы, что позволяет избежать обнаружения. Хакерская группа BlueNoroff известна кражами криптовалюты и в прошлом атаковала системы macOS, используя вредоносную программу под названием ObjCShellz для открытия удалённых оболочек на взломанных компьютерах Mac.

Атаки начинаются с фишингового письма, содержащего новости и темы, связанные с криптовалютами, которое для повышения достоверности выглядит так, будто оно отправлено влиятельным лицом в сфере криптовалют. Сообщение содержит ссылку, предположительно, на чтение PDF-файла, относящегося к данной информации, но указывает на домен «delphidigital[.]org», контролируемый злоумышленниками.

По словам исследователей компании SentinelLabs, «URL-адрес в настоящее время обслуживает безвредную форму документа Bitcoin ETF с заголовками, которые со временем меняются», но иногда он обслуживает первый этап вредоносного пакета приложений, который называется «Скрытый риск за новым всплеском цен на биткоины.app».

Исследователи утверждают, что для кампании Hidden Risk злоумышленники использовали копию подлинной научной статьи Техасского университета.

Первый этап — это приложение-дроппер, подписанное и нотариально заверенное с использованием действительного идентификатора разработчика Apple «Avantis Regtech Private Limited (2S8XHJ7948)», который Apple теперь отозвала. При запуске дроппер загружает поддельный PDF-файл со ссылки Google Drive и открывает его в стандартном просмотрщике PDF-файлов, чтобы отвлечь жертву. Однако в фоновом режиме следующая стадия загрузки полезной нагрузки загружается с «matuaner[.]com».