Studiuesit e Jamf kanë zbuluar ekzistencën e një malware të ri në macOS që duket të jetë i lidhur me hakerat e Koresë së Veriut, të njohur për sulmet e tyre veçanërisht të guximshme kibernetike që synojnë kryesisht vjedhjen e parave për të financuar qëllimet e vendit dhe për të anashkaluar sanksionet ekonomike.
macOS: malware i ri nga Koreja në tre variante
Malware u gjet në VirusTotal, por çuditërisht, ai raportohet si “i pastër”. Ai u lëshua në tre versione: një i shkruar në Go, tjetri në Python dhe i treti duke përdorur Flutter, kuadri me burim të hapur të Google, i njohur për lejimin e zhvilluesve për të krijuar aplikacione për iOS, Android etj. nëpërmjet një baze të vetme kodi në Dart.
Në këtë rast, malware pretendoi të ishte një lojë e thjeshtë e stilit Minesweeper e klonuar direkt nga GitHub, me ngarkesën me qëllim të keq të fshehur në një skedar dylib. Ky kod i fshehur u përpoq të lidhej me një server komandimi dhe kontrolli (C2) në mbupdate[.]linkpc[.]net, një domen me lidhje me malware të mëparshëm të Koresë së Veriut.
Për fat të mirë, serveri nuk funksionoi kur Jamf e gjeti atë, duke kthyer vetëm një gabim “404 nuk u gjet”, kështu që sulmi nuk ishte plotësisht i suksesshëm. Sidoqoftë, malware ishte në gjendje të anashkalonte fillimisht proceset e sigurisë së Apple, që do të thoshte se sistemet e sigurisë macOS besonin se ishte i sigurt.
Vini re se malware është konfiguruar për të ekzekutuar komandat AppleScript të dërguara nga serveri dhe për t’i ekzekutuar ato në të kundërt për të shmangur zbulimin. Në testet e Jamf, u konfirmua se malware mund të ekzekutonte nga distanca çdo komandë AppleScript të dërguar nga serveri C2, i cili mund t’u kishte dhënë hakerëve kontroll të plotë nëse sulmi do të ndodhte drejtpërdrejt.
Discussion about this post