Cyberkriminelle zielen mit neuartiger macOS-Malware auf Kryptofirmen

IT-Sicherheitsforscher von Sentinel haben eine neue Malware-Kampagne entdeckt, die sie der nordkoreanischen Cyberkriminellen-Gruppierung Blue Noroff zuschreiben. Mit einer macOS-spezifischen mehrstufigen Malware zielen die Angreifer auf Firmen aus dem Kryptowährungssektor ab.

"Verstecktes Risiko"

Die Angreifer ködern ihre Opfer laut der IT-Forscher mit E-Mails, die sie als Newsletter über die Kryptowährungstrends tarnen. Die Angreifer nutzen den Namen einer realen Person als Absender, die die Mail eines Krypto-Influencers weiterleitet. Die Opfer infizieren sich, wenn sie auf einen Link zu vermeintliche PDF-Dateien in der Mail klicken, der mit Titeln wie "Das versteckte Risiko hinter dem neuen Bitcoin-Preisanstieg" lockt. Angelehnt an den PDF-Namen haben die Forscher die Kampagne HiddenRisk genannt.

Bei der initialen Infektion gelangt ein sogenannter Dropper auf das betreffende System. Dabei handelt es sich um ein Softwarepaket, das einen Virus enthält. Dieser nistet sich auf dem System ein, um dann weitere Schadsoftware nachzuladen.

Der in der von Apple entwickelten Programmiersprache Swift geschriebene Dropper wurde am 19. Oktober von der Apple-Developer-ID “Avantis Regtech Private Limited (2S8XHJ7948)” signiert und notarisiert. Mittlerweile hat Apple die Signatur widerrufen. Eigentlich dient eine solche Signatur und Notarisierung der Bestätigung von Funktionalität und Sicherheit einer Software.

Um die Opfer abzulenken, wird nach Klicken auf den Link tatsächlich eine PDF heruntergeladen und im PDF-Viewer geöffnet. Im Hintergrund lädt der Dropper jedoch weiteren Schadcode aus dem Netz. Er setzt die App-Transport-Sicherheitsrichtlinie Apples außer Kraft und sorgt dafür, dass unsichere HTTP-Verbindungen zu einer von den Angreifern kontrollierten Domain auf dem System akzeptiert werden.

Im nächsten Schritt nistet sich dieser Schadcode in Form einer manipulierten .zshenv-Konfigurationsdatei vom Nutzer unbemerkt in einem versteckten Verzeichnis im Home-Directory ein. Dabei handelt es sich um eine x86-64-Mach-O-Binärdatei, was bedeutet, dass sie nur auf Macs mit Intel-Prozessor läuft – und auf Apple-Silicon-Macs, auf denen die Rosetta Emulation Software installiert ist.

Erstmals in realen Angriffen gesichtet

Laut der Forscher ist die Variante, eine schädliche .zshenv-Datei auf das System einzubringen, nicht grundsätzlich neu, wurde aber zuvor noch nicht in realen Angriffen entdeckt. Auf diesem Weg umgehen die Angreifer die seit macOS 13 eingeführten Persistenzerkennungssysteme des Betriebssystems, die Nutzer eigentlich mittels Benachrichtigung vor verdächtigen Prozessen, etwa der Installation von LaunchAgents, warnen würden.

Bemerkenswert ist laut dem Blogpost außerdem, dass die Bedrohungsakteure es offenbar wiederholt geschafft haben, sich Apple-Developer-IDs zu beschaffen und ihre Malware notarisieren zu lassen. Dass nordkoreanische Angreifer auf Kryptofirmen abzielen, ist nicht neu. Cyberkriminelle aus Nordkorea versuchen aber offenbar auch auf anderen Wegen, etwa das von den Vereinten Nationen sanktionierte Programm zur Atomwaffenentwicklung zu finanzieren. Im Oktober warnte der Verfassungsschutz vor nordkoreanischen IT-Arbeitern, die ihre Dienste als freie Mitarbeiter zu diesem Zweck auf Jobplattformen anbieten.

(kst)