Hidden Risk Malware

Une nouvelle campagne du groupe de cybercriminels nord-coréen BlueNoroff cible les entreprises de cryptomonnaies, en utilisant un malware sophistiqué à plusieurs étapes ciblant les systèmes macOS. Surnommée Hidden Risk par les chercheurs, la campagne attire les victimes avec des e-mails contenant des informations fabriquées sur les développements récents du marché des cryptomonnaies. Le malware impliqué dans ces attaques utilise une technique de persistance innovante sur macOS, conçue pour passer inaperçue lors des dernières mises à jour du système, contournant ainsi efficacement les alertes de sécurité.

BlueNoroff est un groupe de cybercriminels connu pour le vol de cryptomonnaies et qui a déjà ciblé des systèmes macOS. Lors de précédentes attaques, ils ont utilisé une charge utile connue sous le nom d'ObjCShellz, qui leur a permis d'établir des shells distants sur des Mac compromis.

Comment se déroule la chaîne d'infection cachée des biscottes

L'attaque commence par l'envoi d'un e-mail de phishing qui semble contenir des informations liées aux cryptomonnaies, souvent présenté comme un message transféré par un influenceur crypto bien connu pour lui donner de la crédibilité. L'e-mail comprend un lien, censé mener à un PDF contenant des informations importantes, mais il dirige en fait la victime vers un domaine contrôlé par les attaquants, delphidigital.org.

Les chercheurs ont observé que l'URL héberge actuellement une version inoffensive d'un document ETF Bitcoin, avec des titres changeants, bien que parfois cela mène à la première étape d'un ensemble d'applications non sécurisées intitulé Hidden Risk Behind New Surge of Bitcoin Price.app.

Pour cette campagne, l'attaquant a utilisé un article universitaire légitime de l'Université du Texas comme déguisement. La première étape de l'attaque implique une application dropper, signée et notariée sous un identifiant de développeur Apple valide, « Avantis Regtech Private Limited (2S8XHJ7948) », qu'Apple a depuis révoqué.

Une fois exécuté, le dropper télécharge un PDF leurre à partir d'un lien Google Drive et l'ouvre dans la visionneuse PDF par défaut pour distraire la victime. Pendant ce temps, l'étape suivante de l'attaque est secrètement téléchargée à partir de matuaner.com. Notamment, les attaquants ont modifié le fichier Info.plist de l'application pour autoriser les connexions HTTP non sécurisées à leur domaine, contournant ainsi efficacement les protocoles App Transport Security d'Apple.

Un nouveau mécanisme de persistance exploité par le risque caché

La charge utile de la deuxième étape, appelée « growth », est un binaire Mach-O x86_64 qui fonctionne à la fois sur les appareils Intel et Apple Silicon équipés du framework d'émulation Rosetta. Il assure la persistance en modifiant le fichier de configuration caché .zshenv dans le répertoire personnel de l'utilisateur, qui se charge pendant les sessions Zsh.

Pour confirmer la réussite de l'infection et maintenir la persistance, le malware crée un « fichier tactile » caché dans le répertoire /tmp/, ce qui permet de maintenir la charge utile active même après les redémarrages ou les connexions des utilisateurs. Cette technique lui permet de contourner les systèmes de détection de persistance de macOS 13 et versions ultérieures, qui alertent généralement les utilisateurs lorsque de nouveaux LaunchAgents sont installés. En infectant le système avec un fichier Zshenv malveillant, le malware établit une forme de persistance plus forte. Bien que cette méthode ne soit pas entièrement nouvelle, c'est la première fois que les chercheurs la voient utilisée dans des attaques en direct par des auteurs de malwares.

Une fois ancrée dans le système, la porte dérobée se connecte au serveur de commande et de contrôle (C2), recherchant de nouvelles commandes toutes les 60 secondes. La chaîne d'agent utilisateur qu'elle utilise a été associée à des attaques précédentes attribuées à BlueNoroff en 2023. Les commandes observées incluent le téléchargement et l'exécution de charges utiles supplémentaires, l'exécution de commandes shell pour modifier ou voler des fichiers, ou l'arrêt complet du processus.

Les experts soulignent que la campagne Hidden Risk est active depuis 12 mois, adoptant une approche de phishing plus directe plutôt que la stratégie de « grooming » des réseaux sociaux typique observée dans d'autres opérations de piratage nord-coréen. Les chercheurs soulignent également la capacité continue de BlueNoroff à sécuriser de nouveaux comptes de développeurs Apple et à faire authentifier leurs charges utiles, ce qui leur permet de contourner les protections de macOS Gatekeeper.