هجوم القراصنة في كوريا الشمالية: التنكر في وجهة نظر الباحثين عن عمل لاستهداف مستخدمي Mac ببرامج BeaverTail الضارة

جاكرتا - حدد باحثون أمنيون محاولات القراصنة التي ترعاها دول من كوريا الشمالية (DPRK) لاستهداف مستخدمي Mac ببرامج ضارة لسرقة المعلومات من خلال تطبيقات الاجتماعات المخترقة.

بمجرد الإصابة ، سيبني البرنامج الضار اتصالا بين جهاز Mac وخادم الأوامر والتحكم (C2) للمهاجم لاستخراج البيانات الحساسة مثل بيانات اعتماد iCloud Keychain. يقوم البرنامج الضار أيضا بتثبيت تطبيق سطح المكتب عن بعد AnyDesk بهدوء وبرامج keylogging في الخلفية لاستعادة الجهاز وجمع ضغط الزر.

تم الإبلاغ عن البرامج الضارة ، وهو متغير جديد من السلالة المعروفة باسم "BeaverTail" ، لأول مرة من قبل MalwareHunterTeam من خلال منشور على X. على الرغم من أن BeaverTail كان في السابق لصا للمعلومات يستند إلى جافا ستيفية تم اكتشافه في عام 2023 ، إلا أنه يبدو الآن أنه تم تغيير هذا البرامج الضارة لاستهداف مستخدمي Mac بصور أقراص ضارة بعنوان "MicroTalk.dmg."

قام الباحث الأمني والمؤلف باتريك وردل بتحليل هذا البرامج الضارة في منشور مدونة شامل إلى حد ما على Objective-See. وجد وردل أن المتسللين على الأرجح يتنكرون في زي الباحثين عن عمل. خدعوا الضحايا لتنزيل ما بدا وكأنه منصة مؤتمرات الفيديو الرسمية ل MiroTalk ، وفقا لاسم ملف صورة القرص "MicroTalk.dmg" ، لكنه في الواقع كلوان يحتوي على برامج ضارة مخفية.

ليست هذه هي المرة الأولى التي يتم فيها الإبلاغ عن قراصنة كوريين شماليين يتنكرون في زي الباحثين عن عمل لاستهداف الضحايا. أصدرت وحدة 42 من شبكة بالو ألتو مؤخرا قصة مماثلة بعنوان: "مستخدمو الحصين والطلب على التوظيف: قاعات بير للحملتين المتصلتين بالتوظيف لممثلين التهديدات الكورية الشمالية".

وفقا لتحليل Wardle ، لم يتم توقيع clon MicroTalk الذي يحتوي على البرامج الضارة أو لم يتم تسجيله مع Apple من قبل المطورين المحددين ، لذلك سيمنع macOS Gatekeeper تشغيل التطبيق. ومع ذلك ، يمكن للمستخدمين التغلب على الحظر عن طريق النقر الأيمن وتحديد "الفتح" من القائمة المختصرة.

بمجرد الإصابة ، تتواصل البرامج الضارة مع خوادم C2 لتنزيل وتصريف البيانات ، بما في ذلك بيانات اعتماد iCloud KeyChain ومعرفات توسع متصفح محفظة العملات المشفرة الشهيرة ، والتي يمكن استخدامها لسرقة المفاتيح الشخصية والعبارات المنيمونية.

أصعب شيء هو فهمه هو أنه عندما تم اكتشاف البرامج الضارة الأسبوع الماضي ، يمكن للبرمجيات الضارة تمرير مساحات مكافحة الفيروسات مثل VirusTotal دون اكتشافها. سيقوم مجرمي الإنترنت بتحميل ملفاتهم التنفيذية على منصات مثل VirusTotal لضمان إخفاء الجوانب الضارة بشكل صحيح بحيث لا يتم اكتشافها من قبل المساحات الشهيرة. النقص هو أن "جيد" يمكن أيضا رؤيتها.

"على وجه التحديد من تدفق الرموز ، نرى أسماء الأساليب (ملفات تحميل ، pDownFinished ، run) التي تكشف عن القدرة على التصفح والتنزيل والتشغيل" ، وفقا لمنشور مدونة Objective-See.

"وبمن السلسلة المدمجة ، نرى عناوين خوادم الأوامر والتحكم على الأرجح ، 95,164,17.24 12,24 وأيضا تعليمات حول نوع المعلومات التي تجمعها البرامج الضارة للتصفح. على وجه الخصوص ، هوية توسع المتصفح لمحافظ العملات المشفرة الشائعة ، ومسارات بيانات متصفح المستخدم ، وسلسلة ماكوس الرئيسية. ترتبط السلسلة الأخرى بتنزيل وتنفيذ أحمال شحن إضافية تبدو وكأنها مخططات بايثون ضارة. "

هذا الاحتمال هو عمل BlueNoroff ، وهي مجموعة فرعية لشركة الجرائم السيبرانية الشهيرة في البلاد ، Lazarus Group. هناك بعض الحالات النموذجية من BlueNoroff التي غالبا ما تتصل بالضحايا المحتملين مع الغطاء كمستثمرين أو بحث عن عمل في الشركة. إذا بدت مثل بطة ، والسباحة مثل بطة ، وتبدو مثل بطة ، فمن المحتمل جدا أنها بطة.