Φαίνεται ότι οι χάκερς από τη Βόρεια Κορέα επέστρεψαν με άλλο ένα κακόβουλο λογισμικό macOS, το οποίο κυκλοφορεί μέσω μιας εφαρμογής προβολής PDF.

Η εταιρεία ασφαλείας Jamf εντόπισε το κακόβουλο λογισμικό, με την ονομασία “RustBucket”, να φτάνει μέσω μιας εφαρμογής που ονομάζεται “Internal PDF Viewer”. Η ίδια η εφαρμογή σας επιτρέπει να προβάλλετε αρχεία PDF. Είναι ενδιαφέρον ότι θα προσπαθήσει να μολύνει το Mac με την πλήρη επίθεση μόνο αν τρέξει το σωστό αρχείο PDF, πιθανότατα ως ένας τρόπος για να αποτρέψει την ανακάλυψη από τους ερευνητές ασφαλείας και το λογισμικό προστασίας από ιούς.

Η Jamf ανακάλυψε ένα από τα σωστά αρχεία PDF, με τίτλο “InvestmentStrategy(Protected).pdf”. Αν ανοιχτεί με το κακόβουλο πρόγραμμα προβολής PDF, ο χρήστης θα συναντήσει ένα έγγραφο 9 σελίδων σχετικά με μια εταιρεία επιχειρηματικών κεφαλαίων που θέλει να επενδύσει σε διάφορες τεχνολογικές νεοσύστατες επιχειρήσεις.

Ως εκ τούτου, οι χάκερς πιθανότατα στοχεύουν τα θύματα μέσω μηνυμάτων phishing σχετικά με επενδυτικές ευκαιρίες. Στην πραγματικότητα όμως, το κακόβουλο πρόγραμμα προβολής PDF θα αρχίσει κρυφά να επικοινωνεί με έναν ελεγχόμενο από τους χάκερ διακομιστή μόλις διαβάσει το σωστό αρχείο PDF. Στη συνέχεια, μπορεί να κατεβάσει ένα νέο κακόβουλο ωφέλιμο φορτίο μεγέθους 11.2MB που διαθέτει κώδικα για επιθέσεις σε Macs.

“Κατά την αρχική εκτέλεση, εκτελεί μια σειρά εντολών ανακατασκευής του συστήματος”, αναφέρει η Jamf στην έκθεση. “Μέσα σε αυτή τη μονάδα υπάρχει η δυνατότητα να εξετάζει τις βασικές πληροφορίες για το σύστημα, την καταχώρηση των διεργασιών, την τρέχουσα ώρα και το αν εκτελείται ή όχι μέσα σε μια [εικονική μηχανή]”.

Ο ελεγχόμενος από τον χάκερ διακομιστής μπορεί στη συνέχεια να κατευθύνει το κακόβουλο λογισμικό για να κατεβάσει και να εκτελέσει πρόσθετα κακόβουλα ωφέλιμα φορτία μέσω του Mac.

Τα καλά νέα είναι ότι η ίδια η εφαρμογή είναι μη υπογεγραμμένη και θα εκτελεστεί μόνο αν ο χρήστης παρακάμψει χειροκίνητα την ενσωματωμένη προστασία Gatekeeper της Apple, η οποία θα σας προειδοποιεί αυτόματα για την εκτέλεση μη αξιόπιστων προγραμμάτων λογισμικού που έχουν ληφθεί από το διαδίκτυο.

Η Jamf παρατήρησε επίσης ότι το κακόβουλο λογισμικό έχει τεχνικές ομοιότητες με άλλες επιθέσεις που συνδέονται με την “BlueNoroff”, μια ομάδα που λειτουργεί υπό τη βορειοκορεατική ομάδα hacking Lazarus, ίσως πιο γνωστή για την παραβίαση της Sony Pictures το 2014.

Έκτοτε έχει διαπιστωθεί ότι η Lazarus επικεντρώνεται στην παραβίαση κρυπτονομισματικών και χρηματοπιστωτικών εταιρειών μέσω κακόβουλου λογισμικού τόσο για Windows όσο και για macOS, συνήθως σε στοχευμένες επιθέσεις. Πίσω στο 2018, οι ερευνητές ασφαλείας της Kaspersky αποκάλυψαν για πρώτη φορά τους Βορειοκορεάτες χάκερ να μολύνουν συσκευές macOS με κακόβουλο λογισμικό.

Η Jamf πρόσθεσε: “Το κακόβουλο λογισμικό που χρησιμοποιήθηκε εδώ δείχνει ότι καθώς το μερίδιο αγοράς του macOS αυξάνεται, οι επιτιθέμενοι συνειδητοποιούν ότι ένας αριθμός θυμάτων θα είναι απρόσβλητος εάν τα εργαλεία τους δεν ενημερωθούν ώστε να συμπεριλάβουν το οικοσύστημα της Apple”.

Πράγματι, η διαβόητη συμμορία Lockbit έχει επίσης εντοπιστεί να αναπτύσσει μια νέα επίθεση ransomware ικανή να μολύνει συσκευές macOS.

Πηγή: PC Magazine