Um novo malware para macOS provavelmente usado por hackers norte-coreanos para atingir trocas de criptografia foi encontrado pela empresa de segurança Jamf. Acredita-se que o grupo por trás do malware seja o mesmo grupo por trás do malware KandyKorn relatado recentemente.
Em seu relatório sobre o KandyKorn, a Kaspersky descreve o grupo como “Lazarus”, um termo abrangente para hackers norte-coreanos. Jamf descreve esse grupo como BlueNoroff, um grupo específico dentro do Lazarus que é “motivado financeiramente, frequentemente visando bolsas de criptomoedas, empresas de capital de risco e bancos”.
O novo malware é rastreado por Jamf como ObjCShellz e acredita-se que faça parte do que foi chamado de Campanha RustBucket. Os pesquisadores suspeitam que seja uma parte final de um ataque de malware em vários estágios. “É um shell remoto bastante simplista”, explica Jaron Bradley, diretor do Jamf Threat Labs, “mas eficaz”. Ele permite que o invasor entregue instruções do macOS de um servidor C2 e colete as respostas. O malware pode fazer quase tudo que o usuário faz no Mac, mas em segundo plano.
Jamf não foi capaz de explorar as intenções específicas dos atacantes com este malware, porque o servidor C2 (localizado em ‘swissborg[.]blog’) foi colocado offline assim que os pesquisadores procuraram mais informações. Isso não é incomum – os invasores muitas vezes cancelam um IP para evitar investigação, apenas para retirá-lo em alguma data futura.
No entanto, uma possível razão alternativa para colocar o servidor off-line é que o malware já realizou sua tarefa com sucesso. “Depois de terminarem o ataque”, comentou Bradley, “eles colocam o servidor off-line para evitar que os pesquisadores obtenham informações adicionais sobre o que realmente está acontecendo”.
O endereço do servidor C2 está codificado no malware. O malware poderia ser reutilizado como parte de um ataque de spear-phishing diferente, simplesmente alterando o link C2 para um nome de domínio semelhante diferente.
Uma característica um pouco incomum é evidente neste malware: ele registra as respostas do servidor da vítima aos comandos do malware – tanto sucessos quanto falhas. “A escolha de registrar essas atividades é intrigante, já que os invasores que criam malware sofisticado normalmente omitem quaisquer declarações que possam deixar rastros”, escrevem os pesquisadores em seu relatório. relatório. Simplificando, o malware em si possui elementos pouco sofisticados, enquanto os suspeitos de ataque são considerados um grupo sofisticado de NK APT.
Apesar disso, Jamf está confiante de que o malware pertence à BlueNoroff. O servidor C2 codificado está associado há muito tempo a esse grupo. O URL no malware que resolve este IP, registrado em 31 de maio de 2023, é efetivamente um erro de digitação no legítimo swissborg[.]com troca de criptomoedas.
Embora Jamf não consiga descobrir os meios de infecção, o typosquatting sugere uma campanha de phishing visando esta criptomoeda específica. Isso seria típico da campanha BlueNoroff RustBucket – e o fato de o IP associado ter um histórico com BlueNoroff quase confirma a suspeita.
A natureza um tanto simplista do malware permanece um quebra-cabeça – o suficiente para Jamf destacar isso em seu relatório. Jamf não especula – mas as poucas instâncias conhecidas do malware em circulação, juntamente com a velocidade com que o servidor C2 foi colocado offline quando investigado por Jamf, abre a possibilidade de que este seja um malware ainda em desenvolvimento e teste, projetado para ser parte de uma futura campanha de phishing de serviços financeiros.
Quer se trate de um novo malware sendo desenvolvido para uma nova campanha ou não, isso demonstra a determinação do grupo Lazarus/BlueNoroff APT. “Este é um ator muito capaz”, comentou Bradley, “e não está diminuindo o ritmo. Eles ainda estão trazendo malware que não foi detectado antes, indicando que seu arsenal de malware provavelmente está bastante difundido além do que já vimos.”
É importante notar que, embora o servidor C2 esteja offline no momento em que este artigo foi escrito, esse malware não deve ser ignorado. Infecções desconhecidas podem se tornar ativas se o servidor C2 for colocado online novamente. No mínimo, a comunicação com o 104.168.214[.]151 deve ser bloqueado – especialmente porque este endereço foi usado com outro malware BlueNoroff.
