Tendo como alvo os clientes da Apple, alguns hackers fazem backdoor em Macs com novo malware ObjCShellz. Confira os detalhes dessa ameaça.
BlueNorOff é um grupo de hackers apoiado pela Coreia do Norte. Com motivação financeira, eles são conhecidos por atacar bolsas de criptomoedas e organizações financeiras, como empresas de capital de risco e bancos em todo o mundo.
Agora, o grupo de ameaças BlueNorOff tem como alvo os clientes da Apple com um novo malware macOS rastreado como ObjCShellz, que pode abrir shells remotos em dispositivos comprometidos.
Hackers fazem backdoor em Macs com novo malware ObjCShellz
A carga maliciosa observada pelos analistas de malware da Jamf (rotulada ProcessRequest) se comunica com o swissborg[.]blog, um domínio controlado pelo invasor registrado em 31 de maio e hospedado em 104.168.214[.]151 (um endereço IP que faz parte da infraestrutura BlueNorOff).
Este domínio de comando e controle (C2) imita os sites de uma troca legítima de criptomoedas disponíveis em swissborg.com/blog. Todos os dados transferidos para o servidor são divididos em duas cadeias e unidos na outra extremidade para evitar a detecção baseada em estática.
“O uso deste domínio está bastante alinhado com a atividade que vimos do BlueNorOff no que o Jamf Threat Labs rastreia como a campanha Rustbucket”, disseram os pesquisadores de segurança.
“Nesta campanha, o ator alcança um alvo que afirma estar interessado em fazer parceria ou oferecer-lhe algo benéfico sob o disfarce de um investidor ou caçador de cabeças. A BlueNorOff geralmente cria um domínio que parece pertencer a uma empresa de criptografia legítima em para se misturar com a atividade da rede.”
Macs com backdoor
ObjCShellz é um malware baseado em Objective-C, bastante diferente de outras cargas maliciosas implantadas em ataques BlueNorOff anteriores.
Ele também foi projetado para abrir shells remotos em sistemas macOS comprometidos após serem descartados usando um vetor de acesso inicial desconhecido.
Os invasores o usaram durante o estágio pós-exploração para executar comandos em Macs Intel e Arm infectados.
“Embora bastante simples, esse malware ainda é muito funcional e ajudará os invasores a cumprir seus objetivos. Este parece ser um tema do malware mais recente que vimos vindo deste grupo APT”, disse Jamf.
“Com base em ataques anteriores realizados pelo BlueNorOff, suspeitamos que este malware era um estágio final dentro de um malware de vários estágios entregue por meio de engenharia social.”
No ano passado, a Kaspersky vinculou os hackers BlueNorOff a uma longa série de ataques direcionados a startups de criptomoedas em todo o mundo, incluindo nos EUA, Rússia, China, Índia, Reino Unido, Ucrânia, Polônia, República Tcheca, Emirados Árabes Unidos, Cingapura, Estônia, Vietnã, Malta, Alemanha e Hong Kong.
Em 2019, o Tesouro dos EUA sancionou a BlueNorOff e dois outros grupos de hackers norte-coreanos (Lazarus Group e Andariel) por canalizarem ativos financeiros roubados para o governo norte-coreano.
Hackers estatais norte-coreanos já roubaram cerca de US$ 2 bilhões em pelo menos 35 ataques cibernéticos contra bancos e bolsas de criptomoedas em mais de uma dúzia de países, de acordo com um relatório das Nações Unidas de quatro anos atrás.
O FBI também atribuiu o maior hack de criptografia de todos os tempos, o hack da ponte de rede Ronin do Axie Infinity, aos hackers Lazarus e BlueNorOff, que roubaram 173.600 tokens Ethereum e 25,5 milhões de USDC no valor de mais de US$ 617 milhões na época.
