Ekspertët e SentinelLabs kanë identifikuar një fushatë të re, të quajtur Hidden Risk, e cila synon kompanitë aktive në sektorin e kriptomonedhave. Sulmet kryhen nga grupi koreano-verior BlueNoroff duke përdorur një malware me shumë faza për macOS. Qëllimi është të instaloni një derë të pasme dhe të vidhni informacione të ndjeshme.
Phishing dhe backdoor
Zinxhiri i infeksionit fillon me dërgimin e një emaili phishing. Brenda mesazhit ka një lidhje për të shkarkuar një skedar PDF me lajme për ETF-të e Bitcoin. Përmbajtja është e ngjashme me atë të Universitetit të Teksasit dhe botuar nga Arkivi Ndërkombëtar i Shkencës dhe Kërkimit (IJSRA).
Sidoqoftë, klikimi në lidhje shkarkon gjithashtu fazën e parë të malware, d.m.th. një pikatore që ishte nënshkruar me një ID të vlefshme Zhvilluesi të Apple (më pas të revokuar). Ndërsa viktima që nuk dyshon e sheh dokumentin PDF në ekran, faza e dytë, një derë e pasme, shkarkohet në sfond.
Nëpërmjet teknikave të ndryshme, malware arrin të anashkalojë mbrojtjen e macOS. Pas vendosjes së qëndrueshmërisë (duke funksionuar kur rinis Mac-i), porta e pasme kontakton (çdo 60 sekonda) serverin C2 (komandë dhe kontroll), nga i cili merr komanda, duke përfshirë shkarkimin e ngarkesave të tjera, ekzekutimin e predhave dhe modifikimin ose nxjerrjen e skedarëve.
Sipas ekspertëve të SentinelLabs, fushata e rrezikut të fshehur ka vazhduar për të paktën 12 muaj. Kriminelët kibernetikë të Koresë së Veriut arrijnë të marrin llogari zhvilluesish dhe të anashkalojnë funksionin Gatekeeper të macOS. Prandaj, përdoruesit duhet t’i kushtojnë vëmendje emaileve që marrin dhe të përdorin zgjidhje efektive sigurie.
Discussion about this post