El conocido grupo de piratas informáticos de Corea del Norte BlueNoroff ha vuelto a la carga. Una investigación de la firma SentinelOne así lo ha señalado.
Parece que los hackers fueron sorprendidos enviando señuelos de phishing con titulares de fake news o historias sobre asuntos vinculados con las criptomonedas a objetivos de empresas de finanzas descentralizadas (DeFi) y criptoactivos.
Los hackers, respaldados por el gobierno norcoreano, incrustaron una app maliciosa de macOS disfrazada de enlace a un documento PDF relacionado con un tema de criptoactivos, según se hace eco Security Week.
La firma de seguridad ha denominado a la campaña Hidden Risk. Esta abusa del archivo de configuración 'zshenv' para mantener la persistencia sin activar las notificaciones de modificación de elementos en segundo plano de macOS Ventura.
SentinelOne subraya que en base a la documentación de SentinelOne el malware de primera etapa es una aplicación de macOS escrita en Swift, con un nombre idéntico al documento PDF incrustado.
La app está firmada con un ID de desarrollador de Apple legítimo (ya revocado) y, al ejecutarse, descarga un PDF señuelo de un link de Google Drive y lo abre usando el visor de PDF predeterminado de macOS para evitar levantar sospechas.
La aplicación elude las características de seguridad de macOS al especificar excepciones para permitir conexiones HTTP inseguras.
La compañía también documentó el uso de una puerta trasera de segunda etapa que recopila información del sistema, genera un identificador único y establece comunicación con un servidor de comando y control (C2).
Quiénes son los malos
Según se ha documentado, BlueNoroff es un subgrupo dentro de la operación Lazarus APT (amenazas persistentes avanzadas) de Corea del Norte.
El grupo se especializa en delitos financieros dirigidos a exchanges de criptomonedas y bancos, con la intención de obtener fondos para financiar al régimen del país asiático.