Des pirates informatiques nord-coréens ciblent les entreprises de crypto-monnaie avec des logiciels malveillants à risque caché sur macOS
Un acteur malveillant lié à la République populaire démocratique de Corée (RPDC) a été observé ciblant des entreprises liées à la cryptomonnaie avec un malware à plusieurs étapes capable d’ infecter les appareils Apple macOS .
La société de cybersécurité SentinelOne, qui a baptisé la campagne Hidden Risk , l’a attribuée avec une grande confiance à BlueNoroff, qui a déjà été lié à des familles de logiciels malveillants telles que RustBucket , KANDYKORN , ObjCShellz , RustDoor (alias Thiefbucket ) et TodoSwift .
L’activité « utilise des e-mails propageant de fausses nouvelles sur les tendances des crypto-monnaies pour infecter des cibles via une application malveillante déguisée en fichier PDF », ont déclaré les chercheurs Raffaele Sabato, Phil Stokes et Tom Hegel dans un rapport partagé avec The Hacker News.
« La campagne a probablement commencé dès juillet 2024 et utilise des leurres par courrier électronique et par PDF contenant de faux titres d’actualité ou des articles sur des sujets liés à la cryptographie. »
Comme l’a révélé le Federal Bureau of Investigation (FBI) américain dans un avis de septembre 2024, ces campagnes font partie d’attaques « d’ingénierie sociale hautement ciblées et difficiles à détecter » visant les employés travaillant dans les secteurs de la finance décentralisée (DeFi) et des cryptomonnaies.
Les attaques prennent la forme de fausses opportunités d’emploi ou d’investissements d’entreprise, engageant un dialogue avec leurs cibles pendant de longues périodes afin d’instaurer la confiance avant de diffuser des logiciels malveillants.
SentinelOne a déclaré avoir observé une tentative de phishing par courrier électronique sur un secteur lié à la cryptographie fin octobre 2024 qui a livré une application dropper imitant un fichier PDF (“Hidden Risk Behind New Surge of Bitcoin Price.app”) hébergé sur delphidigital[.]org.
L’application, écrite dans le langage de programmation Swift, a été signée et notariée le 19 octobre 2024, avec l’identifiant de développeur Apple « Avantis Regtech Private Limited (2S8XHJ7948) ». La signature a depuis été révoquée par le fabricant de l’iPhone.
Au lancement, l’application télécharge et affiche à la victime un fichier PDF leurre récupéré sur Google Drive, tout en récupérant secrètement un exécutable de deuxième étape sur un serveur distant et en l’exécutant. Un exécutable Mach-O x86-64, le binaire non signé basé sur C++ agit comme une porte dérobée pour exécuter des commandes à distance.
La porte dérobée intègre également un nouveau mécanisme de persistance qui abuse du fichier de configuration zshenv, marquant la première fois que la technique a été utilisée de manière abusive par des auteurs de logiciels malveillants.
« Cela a une valeur particulière sur les versions modernes de macOS depuis qu’Apple a introduit les notifications utilisateur pour les éléments de connexion en arrière-plan à partir de macOS 13 Ventura », ont déclaré les chercheurs.
« La notification d’Apple vise à avertir les utilisateurs lorsqu’une méthode de persistance est installée, en particulier les LaunchAgents et LaunchDaemons souvent utilisés à mauvais escient. Cependant, l’utilisation abusive de Zshenv ne déclenche pas une telle notification dans les versions actuelles de macOS. »
L’acteur malveillant a également été observé en train d’utiliser le registraire de domaines Namecheap pour établir une infrastructure centrée sur des thèmes liés à la crypto-monnaie, au Web3 et aux investissements afin de lui donner un semblant de légitimité. Quickpacket, Routerhosting et Hostwinds font partie des fournisseurs d’hébergement les plus couramment utilisés.
Il convient de noter que la chaîne d’attaque partage un certain niveau de chevauchement avec une campagne précédente que Kandji a mise en évidence en août 2024, qui utilisait également une application de dépôt macOS portant le même nom « Les facteurs de risque de baisse du prix du Bitcoin émergent (2024).app » pour déployer TodoSwift.
On ne sait pas exactement ce qui a poussé les acteurs de la menace à changer de tactique, et si c’est en réponse aux rapports publics. « Les acteurs nord-coréens sont connus pour leur créativité, leur adaptabilité et leur connaissance des rapports sur leurs activités, il est donc tout à fait possible que nous assistions simplement à l’émergence de méthodes différentes et efficaces issues de leur programme cyber offensif », a déclaré Stokes à The Hacker News.
Un autre aspect préoccupant de la campagne est la capacité de BlueNoroff à acquérir ou à détourner des comptes de développeurs Apple valides et à les utiliser pour faire notarier leurs logiciels malveillants par Apple.
« Au cours des 12 derniers mois environ, les cyberacteurs nord-coréens se sont engagés dans une série de campagnes contre les industries liées à la cryptographie, dont beaucoup impliquaient un « toilettage » approfondi des cibles via les médias sociaux », ont déclaré les chercheurs.
« La campagne Hidden Risk s’écarte de cette stratégie en adoptant une approche de phishing par courrier électronique plus traditionnelle et plus grossière, mais pas nécessairement moins efficace. Malgré la brutalité de la méthode d’infection initiale, d’autres caractéristiques des campagnes précédentes soutenues par la RPDC sont évidentes. »
Cette évolution intervient également dans le contexte d’autres campagnes orchestrées par des pirates informatiques nord-coréens pour rechercher un emploi dans diverses entreprises occidentales et diffuser des logiciels malveillants à l’aide de bases de code piégées et d’outils de conférence à des demandeurs d’emploi potentiels sous le couvert d’un défi d’embauche ou d’une mission.
Les deux séries d’intrusions , baptisées Wagemole (alias UNC5267) et Contagious Interview , ont été attribuées à un groupe de menaces connu sous le nom de Famous Chollima (alias CL-STA-0240 et Tenacious Pungsan).
ESET, qui a donné à Contagious Interview le surnom de DeceptiveDevelopment , l’a classé comme un nouveau groupe d’activités du groupe Lazarus qui se concentre sur le ciblage des développeurs indépendants du monde entier dans le but de voler des crypto-monnaies.
« Les campagnes Contagious Interview et Wagemole illustrent l’évolution des tactiques des acteurs de la menace nord-coréenne alors qu’ils continuent de voler des données, de décrocher des emplois à distance dans les pays occidentaux et de contourner les sanctions financières », a déclaré Seongsu Park, chercheur à Zscaler ThreatLabz, plus tôt cette semaine.
« Avec des techniques d’obfuscation raffinées, une compatibilité multiplateforme et un vol de données généralisé, ces campagnes représentent une menace croissante pour les entreprises et les particuliers. »