Hidden Risk Malware

Una nueva campaña del grupo de amenazas norcoreano BlueNoroff se centra en las empresas de criptomonedas y utiliza un sofisticado malware de varias etapas que ataca a los sistemas macOS. La campaña, apodada "Riesgo oculto" por los investigadores, atrae a las víctimas con correos electrónicos que contienen noticias inventadas sobre los últimos acontecimientos en el mercado de las criptomonedas. El malware implicado en estos ataques emplea una innovadora técnica de persistencia en macOS, diseñada para pasar desapercibida ante las últimas actualizaciones del sistema, eludiendo eficazmente las alertas de seguridad.

BlueNoroff es un grupo de ciberdelincuentes conocido por el robo de criptomonedas y que anteriormente ha atacado sistemas macOS. En ataques anteriores, utilizaron una carga útil conocida como ObjCShellz, que les permitió establecer shells remotos en equipos Mac comprometidos.

Cómo se lleva a cabo la cadena de infección oculta de Rusk

El ataque comienza con el envío de un correo electrónico de phishing que parece contener noticias relacionadas con criptomonedas, a menudo presentadas como un mensaje reenviado por un conocido influencer del sector para darle credibilidad. El correo electrónico incluye un enlace que supuestamente lleva a un PDF con información importante, pero en realidad dirige a la víctima a un dominio controlado por los atacantes, delphidigital.org.

Los investigadores han observado que la URL actualmente aloja una versión inofensiva de un documento ETF de Bitcoin, con títulos cambiantes, aunque a veces conduce a la primera etapa de un paquete de aplicaciones inseguras titulado Riesgo oculto detrás del nuevo aumento del precio de Bitcoin.app.

Para esta campaña, el actor de amenazas utilizó un artículo académico legítimo de la Universidad de Texas como disfraz. La primera etapa del ataque implica una aplicación de descarga, firmada y certificada bajo un ID de desarrollador de Apple válido, 'Avantis Regtech Private Limited (2S8XHJ7948)', que Apple ha revocado desde entonces.

Una vez ejecutado, el programa descarga un PDF señuelo desde un enlace de Google Drive y lo abre en el visor de PDF predeterminado para distraer a la víctima. Mientras tanto, la siguiente etapa del ataque se descarga en secreto desde matuaner.com. Cabe destacar que los atacantes han alterado el archivo Info.plist de la aplicación para permitir conexiones HTTP inseguras a su dominio, eludiendo de manera efectiva los protocolos de seguridad de transporte de aplicaciones de Apple.

Un nuevo mecanismo de persistencia aprovechado por el riesgo oculto

La carga útil de la segunda etapa, denominada "growth", es un binario Mach-O x86_64 que funciona tanto en dispositivos Intel como en dispositivos Apple Silicon equipados con el marco de emulación Rosetta. Garantiza la persistencia modificando el archivo de configuración oculto .zshenv en el directorio de inicio del usuario, que se carga durante las sesiones de Zsh.

Para confirmar que la infección se ha realizado correctamente y mantener la persistencia, el malware crea un "archivo táctil" oculto en el directorio /tmp/, que ayuda a mantener la carga activa incluso después de los reinicios o los inicios de sesión del usuario. Esta técnica le permite eludir los sistemas de detección de persistencia de macOS 13 y versiones posteriores, que suelen alertar a los usuarios cuando se instalan nuevos LaunchAgents. Al infectar el sistema con un archivo Zshenv malicioso, el malware establece una forma más fuerte de persistencia. Aunque este método no es completamente nuevo, es la primera vez que los investigadores lo han visto empleado en ataques en vivo por autores de malware.

Una vez que se ha instalado en el sistema, la puerta trasera se conecta al servidor de Comando y Control (C2) y comprueba si hay nuevos comandos cada 60 segundos. La cadena de agente de usuario que utiliza se ha asociado con ataques anteriores atribuidos a BlueNoroff en 2023. Los comandos observados incluyen la descarga y ejecución de cargas útiles adicionales, la ejecución de comandos de shell para alterar o robar archivos o la detención del proceso por completo.

Los expertos señalan que la campaña Hidden Risk ha estado activa durante los últimos 12 meses, adoptando un enfoque de phishing más directo en lugar de la típica estrategia de "preparación" en las redes sociales que se observa en otras operaciones de hackers norcoreanos. Los investigadores también destacan la capacidad continua de BlueNoroff para proteger las nuevas cuentas de desarrolladores de Apple y obtener la certificación de sus cargas útiles, lo que les permite eludir las protecciones de macOS Gatekeeper.