Crypto exchange doelwit van nieuwe macOS-malware
Een nieuwe malwarevariant voor macOS richt zich actief op crypto exchanges. De aanvallers achter de malware creëren een legitiem domein dat op het eerste oog van een legitiem cryptobedrijf lijken te zijn, en proberen vervolgens slachtoffers op te lichten.
Hiervoor waarschuwen onderzoekers van Jamf Threat Labs. De malware is toegeschreven aan de BlueNoroff APT-groep. De campagnes van BlueNoroff zijn financieel gemotiveerd en richten zich vaak op cryptocurrency beurzen, venture capital bedrijven en banken. Onderzoekers ontdekten een binary die communiceerde met een domein dat Jamf eerder als kwaadaardig had geclassificeerd. Deze executable was op het moment van analyse nog niet gedetecteerd op VirusTotal.
Aanval op SwissBorg
De standalone binary, ProcessRequest, communiceert met het domein swissborg[.]blog. Dit wekte argwaan onder de onderzoekers, omdat de legitieme cryptocurrency exchange SwissBorg opereert onder het domein swissborg.com, waar een legitieme blog wordt gehost op swissborg.com/blog.
Het gebruik van dit domein komt sterk overeen met de activiteit die de onderzoekers van Jamf eerder hebben gezien van BlueNoroff in de Rustbucket-campagne. Daarin bereikt de aanvaller een doelwit door te beweren dat hij geïnteresseerd is in een samenwerking of door zich voor te doen als een investeerder of headhunter. BlueNoroff creëert vaak een domein dat eruitziet alsof het van een legitiem cryptobedrijf, is om op te gaan het overige netwerkverkeer.
'Eenvoudig, maar zeer functioneel'
Bijzonder is dat deze malware opdrachten op afstand kan uitvoeren. Hiermee kan een aanvaller bijvoorbeeld gecompromitteerde systemen op afstand bedienen en beheren. Ferdous Saljooki, onderzoeker bij Jamf, zegt: “Hoewel deze malware redelijk eenvoudig lijkt, is het zeer functioneel en biedt het aanvallers de middelen om hun doelen te bereiken. Dit patroon zien we ook in de meest recente malware van deze APT-groep.”
De malware is geschreven in Objective-C en werkt als een eenvoudige remote shell die shellcommando's uitvoert die worden verzonden vanaf de aanvalsserver. Deze shell onderhoudt vervolgens de communicatie met de C2-server via POST-berichten naar een specifieke URL. Daarbij wordt ook informatie verzameld over het geïnfecteerde macOS-systeem.
Hoewel niet helemaal duidelijk is hoe de initiële toegang is verkregen, wordt deze malware waarschijnlijk in een later stadium gebruikt om handmatig commando's uit te voeren nadat een systeem is gecompromitteerd. Deze malware verschilt op het eerste gezicht flink van de eerder genoemde RustBucket-malware die bij andere aanvallen is gebruikt, maar de aanvaller lijkt zich in beide gevallen te richten op het bieden van eenvoudige remote shell-mogelijkheden.
Meer informatie is hier beschikbaar.
Dutch IT events
Alle events
Meer over cryptocurrency
Over Wouter Hoeffnagel
