Βορειοκορεάτες χάκερ στοχεύουν συστήματα macOS χρησιμοποιώντας εφαρμογές Notepad με trojan και παιχνίδια ναρκαλιευτών που έχουν δημιουργηθεί με Flutter, τα οποία υπογράφονται από ένα νόμιμο αναγνωριστικό προγραμματιστή της Apple.
Δείτε επίσης: 7 Tricks στο macOS 15 Sequoia που θα σας ενθουσιάσουν!
Αυτό σημαίνει ότι κακόβουλες εφαρμογές, έστω και προσωρινά, πέρασαν τους ελέγχους ασφαλείας της Apple, επομένως τα συστήματα macOS τις αντιμετωπίζουν ως επαληθευμένες και τους επιτρέπουν να εκτελούνται χωρίς περιορισμούς. Τα ονόματα των εφαρμογών επικεντρώνονται σε θέματα κρυπτονομισμάτων, τα οποία ευθυγραμμίζονται με τα ενδιαφέροντα των βορειοκορεατών χάκερ για χρηματοοικονομικές κλοπές.
Σύμφωνα με το Jamf Threat Labs, το οποίο ανακάλυψε τη δραστηριότητα, η καμπάνια μοιάζει περισσότερο με ένα πείραμα παράκαμψης της ασφάλειας macOS παρά με μια πλήρως ανεπτυγμένη και εξαιρετικά στοχευμένη λειτουργία.
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Ξεκινώντας τον Νοέμβριο του 2024, το Jamf ανακάλυψε πολλές εφαρμογές στο VirusTotal που φαίνονταν εντελώς αβλαβείς σε όλες τις σαρώσεις AV, αλλά παρουσίαζαν τη λειτουργικότητα “πρώτη φάση”, συνδέοντας διακομιστές που σχετίζονται με Βορειοκορεάτες χάκερ.
Δείτε ακόμα: Η Apple διορθώνει περισσότερες από 70 ευπάθειες σε iOS και macOS
Όλες οι εφαρμογές κατασκευάστηκαν για macOS χρησιμοποιώντας το πλαίσιο Flutter της Google, το οποίο επιτρέπει στους προγραμματιστές να δημιουργούν εγγενώς μεταγλωττισμένες εφαρμογές για διαφορετικά λειτουργικά συστήματα χρησιμοποιώντας μια ενιαία βάση κώδικα, γραμμένη στη γλώσσα προγραμματισμού Dart.
Αυτή η προσέγγιση όχι μόνο δίνει στους δημιουργούς κακόβουλου λογισμικού ευελιξία, αλλά καθιστά επίσης πιο δύσκολο τον εντοπισμό του κακόβουλου κώδικα επειδή είναι ενσωματωμένος σε μια δυναμική βιβλιοθήκη (dylib), η οποία φορτώνεται από τη μηχανή Flutter κατά την εκτέλεση.
Μετά από περαιτέρω ανάλυση μιας από τις εφαρμογές που βασίζονται στο Flutter, με το όνομα «New Updates in Crypto Exchange (2024-08-28).app», το Jamf ανακάλυψε ότι ο ασαφής κώδικας στο dylib υποστήριζε την εκτέλεση AppleScript, επιτρέποντάς του να εκτελεί σενάρια που αποστέλλονται από διακομιστή εντολών και ελέγχου (C2).
Η εφαρμογή ανοίγει ένα παιχνίδι Minesweeper για macOS, ο κώδικας του οποίου είναι δωρεάν διαθέσιμος στο GitHub.
Πέντε από τις έξι κακόβουλες εφαρμογές Flutter, που ανακάλυψε το Jamf, υπογράφηκαν χρησιμοποιώντας ένα νόμιμο αναγνωριστικό προγραμματιστή και το κακόβουλο λογισμικό είχε περάσει από συμβολαιογραφικό έλεγχο, πράγμα που σημαίνει ότι οι εφαρμογές σαρώθηκαν από τα αυτοματοποιημένα συστήματα macOS και θεωρήθηκαν ασφαλείς.
Δείτε επίσης: Σφάλμα του OneDrive προκαλεί πάγωμα εφαρμογών στο macOS
Οι Βορειοκορεάτες χάκερ έχουν εξελιχθεί σε ένα σοβαρό ζήτημα για την παγκόσμια ασφάλεια. Αυτοί οι χάκερς, συχνά συνδεδεμένοι με κρατικές υπηρεσίες, έχουν επιδοθεί σε διάφορες μορφές κυβερνοεπιθέσεων με στόχο να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, να υποκλέψουν χρήματα και να διαταράξουν βασικές ηλεκτρονικές υποδομές. Οι επιθέσεις τους χαρακτηρίζονται τόσο από την πολυπλοκότητά τους όσο και από την επιμονή τους. Χρησιμοποιούν εξελιγμένες τεχνικές που περιλαμβάνουν τη δημιουργία κακόβουλου λογισμικού και την παράκαμψη των συμβατικών μέτρων ασφαλείας, γεγονός που τις καθιστά δύσκολες στην ανίχνευση και την αποτροπή.
Πηγή: bleepingcomputer