Ciberseguridad 360 | Hackers usan Flutter para introducir malware en macOS

Actores de amenazas vinculados a la Rep�blica Popular Democr�tica de Corea (RPDC o Corea del Norte) han sido descubiertos incrustando malware dentro de aplicaciones Flutter, marcando la primera vez que esta t�ctica ha sido adoptada por el adversario para infectar dispositivos macOS de Apple.

Jamf Threat Labs, que hizo el descubrimiento bas�ndose en artefactos subidos a la plataforma VirusTotal a principios de este mes, dijo que las aplicaciones construidas en Flutter son parte de una actividad m�s amplia que incluye malware escrito en Golang y Python.

Actualmente se desconoce c�mo se distribuyen estas muestras a las v�ctimas y si se han utilizado contra alg�n objetivo, o si los atacantes est�n cambiando a un nuevo m�todo de entrega. Dicho esto, se sabe que los actores de amenazas norcoreanos realizan grandes esfuerzos de ingenier�a social dirigidos a empleados de empresas de criptomoneda y finanzas descentralizadas.

�Sospechamos que estos ejemplos concretos son pruebas�, declar� Jaron Bradley, director de Jamf Threat Labs. �Es posible que a�n no se hayan distribuido. Es dif�cil saberlo. Pero s�. Las t�cnicas de ingenier�a social del atacante han funcionado muy bien en el pasado y sospechamos que seguir�an utilizando estas t�cnicas.�

Jamf no ha atribuido la actividad maliciosa a un grupo de piratas inform�ticos espec�fico vinculado a Corea del Norte, aunque dijo que podr�a ser probablemente obra de un subgrupo de Lazarus conocido como BlueNoroff. Esta conexi�n se deriva de los solapamientos de infraestructura con el malware conocido como KANDYKORN y la campa�a Hidden Risk se�alada recientemente por Sentinel One.

Lo que hace que el nuevo malware destaque es el uso de la aplicaci�n de Flutter, un marco de desarrollo de aplicaciones multiplataforma, para incrustar la carga �til principal escrita en Dart, mientras se hace pasar por un juego Buscaminas totalmente funcional. La aplicaci�n se llama �Nuevas actualizaciones en Crypto Exchange (2024-08-28)�.

Es m�s, el juego parece ser un clon de un juego b�sico de Flutter para iOS que est� disponible p�blicamente en GitHub. Cabe se�alar que el uso de se�uelos con tem�tica de juegos tambi�n se ha observado en conjunci�n con otro grupo de piratas inform�ticos norcoreano rastreado como Moonstone Sleet.

Estas aplicaciones tambi�n han sido firmadas y notariadas utilizando los ID de desarrollador de Apple BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) y FAIRBANKS CURLING CLUB INC. (6W69GC943U), lo que sugiere que los actores de la amenaza son capaces de eludir el proceso de notarizaci�n de Apple. Las firmas han sido revocadas por Apple.

Una vez lanzado, el malware env�a una solicitud de red a un servidor remoto (�mbupdate.linkpc[.]net�) y est� configurado para ejecutar el c�digo AppleScript recibido del servidor, pero no antes de que se escriba hacia atr�s.

Jamf tambi�n ha identificado variantes del malware escritas en Go y Python, esta �ltima creada con Py2App. Las aplicaciones -denominadas NewEra for Stablecoins y DeFi, CeFi (Protected).app y Runner.app- est�n equipadas con capacidades similares para ejecutar cualquier carga AppleScript recibida en la respuesta HTTP del servidor.

El �ltimo desarrollo es una se�al de que los actores de amenazas de la RPDC est�n desarrollando activamente malware utilizando varios lenguajes de programaci�n para infiltrarse en las empresas de criptomonedas.

�El malware descubierto de este actor en los �ltimos a�os se presenta en muchas variantes diferentes con iteraciones actualizadas con frecuencia�, dijo Bradley. Sospechamos que se trata de un esfuerzo por pasar desapercibido y mantener el malware con un aspecto diferente en cada versi�n�. En el caso del lenguaje Dart, sospechamos que se debe a que los actores descubrieron que las aplicaciones Flutter logran una gran oscuridad debido a la arquitectura de su app una vez compilada.�

Fuente: thehackernews