Ciberseguridad 360 | Hackers de BlueNoroff infectan Macs con malware ObjCShellz

El grupo de hackers BlueNorOff, respaldado por Corea del Norte, se dirige a los clientes de Apple con un nuevo malware para macOS denominado ObjCShellz que puede abrir shells remotos en los dispositivos infectados.

BlueNorOff es un grupo de hackers con motivaciones financieras conocido por atacar bolsas de criptomonedas y organizaciones financieras como empresas de capital riesgo y bancos de todo el mundo.

La carga maliciosa observada por los analistas de malware de Jamf (etiquetada como ProcessRequest) se comunica con el blog swissborg[.]blog, un dominio controlado por el atacante registrado el 31 de mayo y alojado en 104.168.214[.]151 (una direcci�n IP que forma parte de la infraestructura de BlueNorOff).

Este dominio de comando y control (C2) imita los sitios web de una bolsa de criptomonedas leg�tima disponible en swissborg.com/blog. Todos los datos transferidos al servidor se dividen en dos cadenas y se unen en el otro extremo para eludir la detecci�n est�tica.

"El uso de este dominio se alinea en gran medida con la actividad que hemos visto de BlueNorOff en lo que Jamf Threat Labs rastrea como la campa�a Rustbucket", dijeron los investigadores de seguridad.

"En esta campa�a, el hacker se pone en contacto con un objetivo afirmando estar interesado en asociarse u ofrecerle algo beneficioso bajo la apariencia de un inversor o cazatalentos. BlueNorOff a menudo crea un dominio que parece pertenecer a una empresa leg�tima de criptomonedas con el fin de mezclarse con la actividad de la red."

Macs ocultos

ObjCShellz es un malware basado en Objective-C, bastante diferente de otras cargas �tiles maliciosas desplegadas en ataques anteriores de BlueNorOff. Tambi�n est� dise�ado para abrir shells remotos en sistemas macOS comprometidos tras ser lanzado utilizando un vector de acceso inicial desconocido.

Los atacantes lo utilizaron durante la fase posterior a la explotaci�n para ejecutar comandos en los Mac Intel y Arm infectados.

"Aunque bastante simple, este malware sigue siendo muy funcional y ayudar� a los atacantes a llevar a cabo sus objetivos. Esto parece ser un tema con el �ltimo malware que hemos visto proveniente de este grupo APT", dijo Jamf.

"Bas�ndonos en ataques anteriores realizados por BlueNorOff, sospechamos que este malware era una etapa tard�a dentro de un malware de m�ltiples etapas entregado a trav�s de ingenier�a social".

El a�o pasado, Kaspersky vincul� a los hackers de BlueNorOff con una larga cadena de ataques dirigidos a startups de criptomonedas de todo el mundo, incluidos Estados Unidos, Rusia, China, India, Reino Unido, Ucrania, Polonia, Rep�blica Checa, Emiratos �rabes Unidos, Singapur, Estonia, Vietnam, Malta, Alemania y Hong Kong.

En 2019, el Tesoro de Estados Unidos sancion� a BlueNorOff y a otros dos grupos de hackers norcoreanos (Lazarus Group y Andariel) por canalizar activos financieros robados al gobierno de Corea del Norte.

Seg�n un informe de las Naciones Unidas de hace cuatro a�os, los hackers del Estado norcoreano ya hab�an robado unos 2.000 millones de d�lares en al menos 35 ciberataques dirigidos contra bancos y bolsas de criptomonedas en m�s de una docena de pa�ses.

El FBI tambi�n atribuy� a los hackers Lazarus y BlueNorOff el mayor pirateo de criptomonedas de la historia, el pirateo del puente de red Ronin de Axie Infinity, que rob� 173.600 Ethereum y 25,5 millones de tokens USDC por valor de m�s de 617 millones de d�lares en aquel momento.

Fuente: bleepingcomputer