Descoberto novo malware para MacOS atribuído a cibercriminosos norte-coreanos

Um novo malware para MacOS – provavelmente utilizado por cibercriminosos da Coreia do Norte para atacar trocas de criptografia – foi descoberto pela empresa de segurança Jamf. Acredita-se que os autores da ameaça sejam o mesmo grupo por detrás do malware KandyKorn, que foi recentemente reportado.

No seu relatório sobre o KandyKorn, a Kaspersky descreve o grupo como “Lazarus”, um termo abrangente para cibercriminosos norte-coreanos. Por sua vez, a Jamf atribui os agentes maliciosos ao BlueNoroff, um grupo específico dentro do Lazarus que é “motivado financeiramente, frequentemente a visar bolsas de criptomoedas, empresas de capital de risco e bancos”.

Acredita-se que o novo malware – rastreado pela Jamf como ObjCShellz – integre a campanha RustBucket, sendo que os investigadores suspeitam que este seja a parte final de um ataque de malware em várias fases.

 “É um shell remoto bastante simplista”, explica Jaron Bradley, diretor do Jamf Threat Labs, “mas eficaz”. Este permite que o invasor entregue instruções do macOS de um servidor C2 e colecione as respostas. O malware é capaz de fazer quase tudo aquilo que um utilizador faz no Mac, mas em segundo plano.

A Jamf não foi capaz de explorar as intenções específicas dos cibercriminosos com este malware, porque o servidor C2 (localizado em ‘swissborg[.]blog’) foi colocado offline assim que os investigadores solicitaram mais informações. Este comportamento não é incomum, dizem, uma vez que muitos invasores optam por cancelar um IP para fugir a uma investigação, reativando-o no futuro.

No entanto, uma possível razão alternativa para colocar o servidor off-line é que o malware já realizou a sua tarefa com sucesso. “Depois de terminarem o ataque, eles colocam o servidor offline para evitar que os investigadores obtenham informações adicionais sobre o que realmente está a acontecer”, comenta Bradley.

O endereço do servidor C2 está codificado no malware. O malware poderia ser reutilizado como parte de um ataque de spear-phishing diferente, simplesmente alterando o link C2 para um nome de domínio semelhante diferente.

A Jamf está confiante de que o malware pertence à BlueNoroff, sendo que o servidor C2 codificado está associado há muito tempo a este grupo. Além disto, apesar de os investigadores não terem conseguido descobrir os meios de infeção, o typosquatting sugere uma campanha de phishing que visa esta criptomoeda específica, o que seria típico da campanha BlueNoroff RustBucket.

Uma característica incomum do malware é o facto de registar as respostas do servidor do alvo aos comandos do malware – tanto sucessos como falhas. “A escolha de registar essas atividades é intrigante, já que os invasores que criam malware sofisticado normalmente omitem quaisquer declarações que possam deixar rastos”, escrevem os investigadores no relatório. Isto significa que o malware em questão possui elementos pouco sofisticados, enquanto os suspeitos do ataque são considerados um grupo sofisticado de NK APT.

“Este é um ator muito capaz e não está a desacelerar”, sublinha Bradley. “Ainda estão a trazer malware que não foi detetado antes, indicando que o seu arsenal de malware provavelmente está bastante difundido além do que já vimos”.