Хакеров КНДР уличили в распространении вредоносного ПО для macOS, которое не видят антивирусы

Северокорейские хакеры нашли способ обойти системы безопасности Apple

Иллюстративное фото / Коллаж 24 Канала/Freepik

Северокорейские хакеры хорошо известны своими кибератаками, часто направленными на кражу денег для финансирования бюджета страны, щедро обложенной санкциями. Исследователи нашли несколько скрытых вредоносных программ, которые маскируются под обычные игры и другие сервисы. Самое интересное, что проверка антивирусными программами не обнаруживает ничего подозрительного.

Детали

Сообщается, что вредоносное программное обеспечение на этот раз направлено только на macOS. Его нашли на сервисе VirusTotal, где люди проверяют файлы на наличие вирусов. Но, как ни странно, зараженные программы были обозначены как "чистые". Зловредный код был написан в трех версиях: на Go, Python и с помощью программного каркаса с открытым кодом Flutter, сообщает 24 Канал со ссылкой на отчет CyberScoop.

Flutter – фреймворк Google, известен тем, что позволяет разработчикам создавать приложения для iOS, Android и других платформ на основе единой кодовой базы в Dart. Flutter популярен благодаря своей кроссплатформенной простоте, но его дизайн также делает его инструментом мечты для злоумышленников, поскольку присущая ему структура кода делает анализ "внутренностей" готового приложения достаточно сложным. Это означает, что хакеры могут легче внедрять и прятать вредоносный код, а исследователи безопасности не сразу его замечают.

В одном из случаев вредоносное программное обеспечение выдавало себя за простую игру Minesweeper, клонированную непосредственно с GitHub, а вредоносный код спрятали в файле dylib. Этот скрытый код пытался подключиться к командно-контрольному серверу (C2) по адресу mbupdate[.]linkpc[.]net, домена со ссылками на предыдущие северокорейские вредоносные программы.

Когда исследователи разоблачили кампанию, сервер был неактивен – выдавал лишь ошибку "404 Не найдено", поэтому атака, судя по всему либо была завершена, либо вообще еще не была полностью развернута. Однако вредоносное программное обеспечение было достаточно хитрым, чтобы проскользнуть через процесс проверки Apple, то есть системы безопасности macOS считали его безопасным.

Игра Minesweeper, в которой скрывался вредоносный код
Игра Minesweeper, в которой скрывался вредоносный код / Скриншот 24 Канала/CyberScoop

Вредоносное программное обеспечение было настроено на выполнение команд AppleScript, присланных с сервера, и даже выполняло их в обратном направлении, чтобы избежать обнаружения. Тесты подтвердили, что вирус может удаленно выполнить любую команду AppleScript, присланную сервером C2, что могло бы дать хакерам полный контроль, если бы атака происходила в реальном времени.

Сейчас, похоже, что это был тестовый запуск. Исследователи подозревают, что целью этой программы не была атака пользователей. Судя по всему с помощью Minesweeper хакеры Северной Кореи экспериментируют со способами "пронести" вредоносное программное обеспечение мимо защиты Apple, чтобы потом использовать этот опыт с другими программами, подсовывая зараженные приложения нужным людям.

Flutter сам по себе не является вредоносным, но он намеренно построен так, что скрывать детали кода. Это напоминание о том, как злоумышленники становятся умнее, используя обычные инструменты разработчиков по-новому, чтобы замаскировать свои намерения.