Хакерів спіймали на поширенні нового шкідливого ПЗ для macOS

Північнокорейські хакери добре відомі своїми сміливими кібератаками, здебільшого спрямованими на крадіжку грошей для фінансування цілей країни та обходу економічних санкцій. Дослідники з Jamf виявили в macOS кілька прихованих шкідливих програм , які, схоже, пов’язані з північнокорейськими хакерами. Вони знайшли його на VirusTotal, сайті, де люди перевіряють файли на наявність зловмисного програмного забезпечення, але, як не дивно, він був позначений як «чистий». Зловмисне програмне забезпечення випускалося в трьох версіях: одна написана на Go, інша на Python і третя з використанням Flutter.

Flutter, фреймворк Google з відкритим вихідним кодом, відомий тим, що дозволяє розробникам створювати додатки для iOS, Android та інших платформ на основі єдиної кодової бази в Dart. Flutter популярний завдяки своїй крос-платформенній простоті, але його дизайн також робить його інструментом мрії для зловмисників, оскільки його структура коду робить аналіз складним. Це означає, що хакери можуть легше впроваджувати шкідливий код, не відразу піднімаючи прапори.

У цьому випадку зловмисне програмне забезпечення прикинулося простою грою Minesweeper, клонованою безпосередньо з GitHub, зі зловмисним корисним навантаженням, прихованим у файлі dylib. Цей прихований код намагався підключитися до командно-контрольного (C2) сервера на mbupdate[.]linkpc[.]net, домені з посиланнями на попередні північнокорейські шкідливі програми. На щастя, сервер був неактивний, коли Jamf знайшов його, видаючи лише помилку «404 Not Found», тому атака не розгорнулася повністю. Однак зловмисне програмне забезпечення було достатньо хитрим, щоб спочатку проскочити через процес нотаріального засвідчення Apple, що означало, що системи безпеки macOS вважали його безпечним.

Особливо цікавий трюк: шкідливе програмне забезпечення було налаштовано на виконання команд AppleScript, надісланих із сервера, і навіть запускало їх у зворотному напрямку, щоб уникнути виявлення. Під час тестів Jamf вони підтвердили, що зловмисне програмне забезпечення може віддалено запускати будь-яку команду AppleScript, надіслану сервером C2, що могло б надати хакерам повний контроль, якби атака була в реальному часі.

Наразі здається, що це міг бути тестовий запуск. Джамф підозрює, що ці хакери експериментують зі способами проникнення зловмисного програмного забезпечення через захист Apple. Flutter сам по собі не шкідливий, але він допомагає приховати деталі коду. Це нагадування про те, як зловмисники стають розумнішими, використовуючи звичайні інструменти розробника по-новому, щоб маскувати свої наміри.