Les pirates nord-coréens ciblent les entreprises liées à la cryptographie avec des e-mails de phishing et de nouveaux logiciels malveillants spécifiques à macOS.
La campagne de phishing liée à la cryptographie
Depuis juillet 2024, des e-mails de phishing contenant apparemment des informations utiles sur les risques liés à la hausse du prix du Bitcoin ont été envoyés à des victimes ciblées dans les secteurs liés aux crypto-monnaies, ont découvert les chercheurs de SentinelLabs.
L’e-mail de phishing (Source : SentinelLabs)
L’e-mail invite le destinataire à cliquer sur le bouton « Ouvrir » pour télécharger un fichier PDF, mais cela déclenchera le téléchargement d’un ensemble d’applications macOS malveillantes nommé « Risque caché derrière la nouvelle poussée de Bitcoin Price.app ».
Une fois lancée, l’application télécharge et ouvre un fichier PDF leurre contenant un véritable document de recherche publié plus tôt cette année. Simultanément – et secrètement – il télécharge et exécute également un binaire malveillant à partir d’une URL codée en dur.
Le malware
Les destinataires qui ne remarquent pas que le PDF est en fait une application et qui le démarrent ne recevront aucun avertissement de la part de macOS, car l’ensemble d’applications malveillantes a été signé et notarié par un membre du programme pour développeurs Apple. (La signature du développeur a depuis été révoquée par Apple.)
« Une signature de code valide et une légalisation indiquent à Gatekeeper que le fichier peut être exécuté en toute sécurité. Il n’y a pas de règle dans XProtect ou XProtectRemediator d’Apple [a malware removal tool] pour ce malware », a déclaré Phil Stokes, chercheur principal chez SentinelLabs, à Help Net Security.
L’application malveillante fonctionne comme un compte-gouttes de première étape. Le malware qu’il télécharge est un exécutable Mach-O x86-64 qui, selon les chercheurs, « ne fonctionnera que sur les Mac à architecture Intel ou sur les appareils Apple Silicon avec le cadre d’émulation Rosetta installé ».
L’exécutable est une nouvelle porte dérobée capable d’assurer sa persistance sur le système cible, de collecter et d’envoyer des informations sur le système hôte et les processus qui y sont exécutés, et d’exécuter les commandes reçues du serveur de commande et de contrôle (C2) utilisé par les attaquants. .
“Nous n’appelons pas cette porte dérobée “RustBucket” car il existe des différences significatives (d’une part, ce n’est pas écrit en Rust)”, nous a expliqué Stokes.
«Nous n’avons pas encore donné de nom public à la porte dérobée. Nous continuons à rechercher d’autres échantillons pour déterminer s’il fait partie d’une famille plus large ou s’il s’agit d’une construction personnalisée.
Nouveaux TTP
Les artefacts de logiciels malveillants et l’infrastructure réseau associés à cette campagne pointent vers BlueNoroff, un sous-groupe de l’APT nord-coréen Lazarus qui se concentre sur les intrusions motivées par des raisons financières.
Les tactiques, techniques et procédures du groupe changent avec le temps. Pour cette campagne, par exemple, ils sont passés d’une approche de « toilettage » via les réseaux sociaux à une approche de phishing par courrier électronique pour parvenir à l’infection initiale.
« Nous pourrions supposer qu’une attention accrue portée aux précédentes [Democratic People’s Republic of Korea] Les campagnes auraient pu réduire l’efficacité des précédentes tentatives de « toilettage des médias sociaux », peut-être en raison de la méfiance accrue des cibles prévues dans DeFi, ETF et d’autres secteurs liés à la cryptographie, mais il est tout aussi probable que ces acteurs de menace soutenus par l’État disposent de suffisamment d’informations. ressources pour poursuivre plusieurs stratégies simultanément », ont noté les chercheurs.
Une autre nouvelle astuce consiste à utiliser une forme de persistance plus puissante en installant un fichier Zshenv (configuration du shell Z) malveillant.
« Toute session Zsh interactive ou non interactive exécutera les commandes écrites dans ~/.zshenv. Dans le cas de ce malware, les commandes lancent la porte dérobée écrite plus tôt sur le disque par le dropper de première étape », a déclaré Stokes à Help Net Security, et a ajouté que si la porte dérobée a été supprimée, le mécanisme de persistance ne pourra pas la réinstaller. .
Cette technique est particulièrement utile depuis qu’Apple a introduit les notifications utilisateur pour les éléments de connexion en arrière-plan dans macOS 13 (Ventura).
« La notification d’Apple vise à avertir les utilisateurs lorsqu’une méthode de persistance est installée, en particulier les LaunchAgents et LaunchDaemons souvent abusés. Cependant, abuser de Zshenv ne déclenche pas une telle notification dans les versions actuelles de macOS », ont expliqué les chercheurs.
Ce qui reste une constante pour les pirates nord-coréens, c’est l’utilisation abusive des comptes de développeurs Apple pour signer le malware, ce qui signifie que les protections intégrées de MacOS peuvent être contournées.
Le conseil de Stokes aux organisations possédant des appareils macOS dans leur flotte et aux utilisateurs individuels de Mac est de compléter les technologies de sécurité existantes d’Apple avec un logiciel de sécurité des points de terminaison tiers réputé.