spot_img
21 C
São Paulo
spot_img
HomeSecurityBlueNoroff: 7 Fatos Importantes Sobre Malware e Criptomoedas

BlueNoroff: 7 Fatos Importantes Sobre Malware e Criptomoedas

Um ator de ameaças associado à República Popular Democrática da Coreia (RPDC) tem sido identificado atacando empresas que operam com criptomoedas, utilizando um malware em múltiplas etapas que é capaz de infectar dispositivos Apple com macOS.

A SentinelOne, uma empresa especializada em cibersegurança, nomeou essa campanha de Risco Oculto e atribuiu com alta confiança ao grupo BlueNoroff, que já foi vinculado a categorias de malware como RustBucket, KANDYKORN, ObjCShellz, RustDoor (também conhecido como Thiefbucket) e TodoSwift.

De acordo com pesquisadores como Raffaele Sabato, Phil Stokes e Tom Hegel, a atividade criminal utiliza e-mails para espalhar notícias falsas a respeito de tendências no mercado de criptomoedas, infectando alvos através de um aplicativo malicioso camuflado como um arquivo PDF, como descrito em um relatório compartilhado com o The Hacker News.

A campanha provavelmente teve início em julho de 2024, utilizando e-mails e PDFs com manchetes instigantes e histórias enganosas sobre criptomoedas. O alerta do FBI, publicado em setembro de 2024, revelou que essas ações fazem parte de ataques de “engenharia social altamente personalizados e difíceis de detectar” que visam indivíduos envolvidos nas áreas de finanças descentralizadas (DeFi) e criptomoedas.

Esses ataques frequentemente assume formas de oportunidades de emprego fictícias ou propostas de investimento corporativo, envolvendo as vítimas durante períodos prolongados a fim de criar confiança antes da entrega do malware.

A SentinelOne também relatou uma tentativa de phishing via e-mail em outubro de 2024, que distribuiu um aplicativo dropper se passando por um arquivo PDF denominado “Risco Oculto por trás do Novo Aumento do Preço do Bitcoin.app” hospedado em delphidigital[.]org.

Esse aplicativo, escrito em Swift, foi assinado e notificado em 19 de outubro de 2024, apresentando o ID de desenvolvedor aprovado pela Apple “Avantis Regtech Private Limited (2S8XHJ7948).” Desde então, a assinatura foi revogada pela empresa fabricante do iPhone.

Uma vez iniciado, o aplicativo enganoso baixa um PDF falso, retirado do Google Drive, enquanto discretamente obtém um segundo executável de um servidor remoto e o executa. Um executável Mach-O x86-64, o binário não assinado em C++ funciona como um backdoor, permitindo a execução de comandos de maneira remota.

O backdoor possui ainda um mecanismo inovador de persistência que utiliza o arquivo de configuração zshenv, marcando a primeira vez que essa técnica é aplicada na prática por criadores de malware.

“Isso apresenta grande relevância nas versões recentes do macOS, considerando que a Apple implantou notificações para Itens de Login em segundo plano a partir do macOS 13 Ventura,” afirmaram os pesquisadores.

“As notificações da Apple têm a finalidade de alertar os usuários quando um método de persistência está sendo instalado, especialmente LaunchAgents e LaunchDaemons, frequentemente sujeitos a abuso. Contudo, o abuso do zshenv não provoca tal notificação nas versões atuais do macOS.”

O ator de ameaças foi também observado utilizando o registrador de domínios Namecheap para estabelecer uma infraestrutura de phishing em torno de temas relacionados a criptomoedas, Web3 e investimentos, conferindo legitimidade à sua operação. Provedores de hospedagem como Quickpacket, Routerhosting e Hostwinds figuram entre os mais utilizados na operação.

Importante notar que essa cadeia de ataque tem similaridades com uma campanha anterior destacada pela Kandji em agosto de 2024, que também utilizou um aplicativo dropper para macOS com um nome similar, “Fatores de risco para a queda do preço do Bitcoin estão emergindo(2024).app” para a implementação do TodoSwift.

Os motivos que levaram os atores de ameaças a alterar suas táticas permanecem incertos, especialmente se isso foi impactado por reportagens públicas. “Os atores norte-coreanos são reconhecidos pela sua criatividade, adaptabilidade e conscientização sobre as reportagens de suas atividades, portanto é totalmente viável que estejamos testemunhando o surgimento de métodos distintos em seu programa ofensivo de cibersegurança,” comentou Stokes ao The Hacker News.

Um aspecto alarmante da campanha é a capacidade do BlueNoroff de conquistar ou sequestrar contas de desenvolvedores da Apple legítimas, utilizando-as para fazer com que seu malware tenha a certificação da Apple.

“Ao longo dos últimos 12 meses, atores cibernéticos norte-coreanos empreenderam uma série de campanhas contra indústrias ligadas a criptomoedas, muitas das quais envolveram uma extensa ‘seleção’ de alvos através de redes sociais,” comentaram os pesquisadores.

A iniciativa Risco Oculto se desvia dessa estratégia, adotando uma abordagem mais tradicional de phishing via e-mail, que, embora diferente, não é menos eficaz. Apesar do método de infecção inicial ser impositivo, outros aspectos de campanhas prévias apoiadas pela RPDC permanecem evidentes.

O desenvolvimento ocorre em meio a outras tentativas orchestradas por hackers norte-coreanos que estão buscando emprego em diversas empresas ocidentais e distribuem malware sob o pretexto de desafios de contratação ou tarefas de seleção.

Os dois conjuntos de intrusão, conhecidos como Wagemole (também denominado UNC5267) e Contagious Interview, foram atribuídos a um grupo de ameaças rastreado como Famous Chollima (também conhecido como CL-STA-0240 e Tenacious Pungsan).

A ESET, que se referiu ao Contagious Interview como Desenvolvimento Enganoso, classificou-o como uma nova atividade do Lazarus, com um foco em atacar desenvolvedores freelancers globalmente, visando o roubo de criptomoedas.

“As campanhas Contagious Interview e Wagemole demonstram a evolução das táticas dos atores de ameaças norte-coreanos, à medida que continuam a roubar dados, conquistar empregos remotos em países ocidentais e burlar sanções financeiras,” declarou o pesquisador da Zscaler ThreatLabz, Seongsu Park disse no início desta semana.

“Com técnicas de ofuscação aprimoradas, compatibilidade multiplataforma e captação abrangente de dados, essas campanhas representam uma ameaça crescente para empresas e indivíduos.”

Imagem representativa das táticas de engenharia social em campanhas de phishing, com foco na campanha 'Risco Oculto' do grupo BlueNoroff.

Análise das Táticas de Engenharia Social Utilizadas em Campanhas de Phishing

As campanhas de phishing, como a denominada ‘Risco Oculto’ do grupo BlueNoroff, são complexas e frequentemente aproveitam-se das fraquezas humanas. Este artigo explora as diversas táticas de engenharia social utilizadas pelos hackers para manipular vítimas e direcioná-las à interação com e-mails e aplicativos maliciosos.

O uso de malware direcionado a criptomoedas por parte da RPDC representa um perigo crescente. O grupo BlueNoroff, através de suas operações, demonstra um entendimento profundo das dinâmicas psicológicas envolvidas nas interações online.

Em um ambiente digital onde a cibersegurança é fundamental, compreender as táticas empregadas por esses atores maliciosos é crucial para a proteção de indivíduos e organizações. Vejamos agora algumas das técnicas mais comuns utilizadas em suas campanhas.

Técnicas de Engenharia Social Comuns

Phishing e Spear Phishing

Os ataques de phishing são uma das metodologias mais utilizadas por hackers. O spear phishing, em particular, consiste em ataques altamente direcionados. A personalização é a chave; hackers coletam informações pessoais de vítimas em redes sociais ou e-mails anteriores.

Com a coleta dessas informações, os atacantes criam mensagens que parecem legítimas. Por exemplo, um e-mail que imita comunicações de empresas de criptomoedas pode solicitar que a vítima tome medidas urgentes, como a atualização de informações de conta, levando à instalação de malware.

Uma variante comum destes ataques, observada na campanha ‘Risco Oculto’, é modelar os e-mails para que pareçam provenientes de entidades confiáveis, como a Apple, para enganar as vítimas.

Pretexting

Outra técnica é o pretexting, onde os hackers se assumem como indivíduos em posições de autoridade. Creiam cenários em que se passam por funcionários de suporte técnico ou executivos que precisam de informações.

Por exemplo, um atacante pode afirmar que houve um problema com o serviço de segurança e que a vítima precisa fornecer detalhes da conta. Esse método funciona explorando a confiança da vítima na figura de autoridade que supostamente representa.

Essa construção de um cenário fictício é uma maneira eficaz de obter informações confidenciais, levando a compromissos de segurança que podem incluir a instalação de malware para macOS.

Manipulação Emocional e Psicológica

Utilizar técnicas de manipulação emocional é uma das estratégias mais eficazes em engenharia social. Os ataques frequentemente empenham-se em provocar medo, urgência ou uma sensação de oportunidade.

Por exemplo, mensagens alarmantes que informam uma suposta transação de crédito não autorizada conduzem a vítima a agir rapidamente, possivelmente instalando aplicativos maliciosos sem discernimento adequado.

Essas abordagens, que vão desde alertas de segurança até ofertas temporárias, são desenhadas para induzir respostas emocionais que reduzem a capacidade crítica das vítimas.

Casos de Sucesso e Eficácia

Personalização

A personalização é um dos principais fatores que aumenta a taxa de sucesso dos ataques de engenharia social. Quanto mais detalhadas as informações coletadas sobre as vítimas, mais convincentes são as mensagens criadas.

Os hackers utilizam dados pessoais, como interesses e atividades nas redes sociais, para elaborar comunicações que ressoam com as vítimas. Isso se aplica especialmente ao spear phishing e whaling, onde a abordagem focada em indivíduos-chave, como executivos de empresas de criptomoedas, resulta em maiores taxas de resposta.

Se um atacante puder referenciar uma recente mudança na política de uma empresa ou um projeto em andamento, a chance de sucesso aumenta significativamente.

Simulação de Phishing

Organizações estão se tornando cada vez mais cientes da necessidade de treinar seus funcionários sobre os sinais de um e-mail de phishing. Como resposta a isso, muitas empresas implementam programas de simulação de phishing.

Esses exercícios educacionais ajudam a identificar vulnerabilidades dentro das corporações e a preparar os funcionários para detectar tentativas de engenharia social antes que se tornem uma ameaça real.

Além disso, essas simulações podem destacar áreas recorrentes de fraqueza, permitindo que as empresas desenvolvam táticas proativas para mitigar o risco.

Adaptação das Táticas

Hackers, como o grupo BlueNoroff, estão em constante adaptação. Eles revisitam suas táticas para se alinhar com as últimas defesas de segurança, implementando novas técnicas de engenharia social e explorando novas plataformas de comunicação.

Por exemplo, a utilização de aplicações que disfarçam o verdadeiro propósito por trás de uma interface atraente, como as utilizadas nas campanhas de malware como ObjCShellz e RustDoor, tem se tornado mais prevalente.

Esses aplicativos são construídos para parecerem úteis ou amigáveis, enquanto na realidade estão configurados para explorar e infectar dispositivos.

Métodos de Manipulação

Construção de Confiança

Atacantes muitas vezes começam seus esforços de engenharia social com um trabalho longo e deliberado para estabelecer confiança. Isso pode ser feito através de interações diretas ou comunicações construídas ao longo de um período.

Por exemplo, um hacker pode acompanhar um potencial alvo nas redes sociais, curtindo e comentando em suas postagens para construir uma relação que facilite futuros ataques.

Essa técnica de construção de confiança transforma um contato ou mensagem que teria sido ignorada em algo a ser considerado, aumentando as chances de interação com comunicações maliciosas.

Utilização de Redes Sociais

As redes sociais fornecem um espaço fértil para hackers em busca de informações pessoais. Aqui, eles conseguem coletar dados que permitem a personalização de ataques.

As informações disponíveis publicamente, como histórico de empregos e detalhes pessoais, podem ser utilizados para enriquecer tentativas de phishing, tornando-as muito mais convincentes.

Além disso, algumas abordagens exploram o que se denomina angler phishing, onde hackers interceptam comunicações legítimas nas redes sociais e as usam para criar mensagens maliciosas no plano privado.

Cibersegurança e Proteção Contra Ameaças

As crescentes ameaças de ataques cibernéticos exigem que indivíduos e organizações permaneçam vigilantes. A implementação de soluções de segurança robustas torna-se imprescindível, assim como a educação contínua sobre as táticas de engenharia social.

Ao compreender como funciona a engenharia social, é possível implementar estratégias que efetivamente mitiguem os riscos. Isso inclui desde manter sistemas e softwares atualizados até a criação de uma cultura de conscientização sobre segurança.

A prevenção e resposta a incidentes devem estar integradas na infraestrutura de segurança cibernética de qualquer organização.

Evolução das ameaças de malware em plataformas Mac com foco em técnicas de persistência.

Evolução do Malware em Plataformas Mac: Novas Técnicas de Persistência

Nos últimos anos, as ameaças de malware direcionadas a plataformas Mac, principalmente as associadas à RPDC, têm apresentado um avanço significativo em suas táticas e técnicas de persistência. O grupo BlueNoroff, notório por suas atividades de cibercrime no setor de criptomoedas, está na vanguarda dessas inovações. Em particular, as técnicas de persistência, como o uso do arquivo zshenv, têm se destacado como uma estratégia eficaz para garantir que o malware permaneça ativo mesmo após reinicializações do sistema.

Historicamente, o malware para Mac baseava-se em métodos mais simples, mas com o avanço da cibersegurança, os atores de ameaças, como os da Lazarus Group, adaptaram suas abordagens. A atual utilização de arquivos de configuração do shell e a instalação de backdoors são exemplos claros de como as técnicas evoluíram, tornando-se mais sofisticadas e difíceis de detectar.

Novas Técnicas de Persistência

Uso do zshenv e Arquivos de Configuração

Os malwares modernos têm explorado arquivos de configuração do shell, como zshenv e bash_profile, para garantir a persistência. Esses arquivos, ao serem executados automaticamente quando o shell é iniciado, permitem que o malware reative suas funções após as reinicializações do sistema ou o fechamento de sessões.

Por exemplo, um malware que utiliza o arquivo zshenv pode se reiniciar silenciosamente, contornando algumas das proteções padrão do sistema macOS. Essa técnica é particularmente alarmante, pois permite que o malware para macOS evite as notificações de segurança que o sistema normalmente emitiria durante a instalação de novos programas.

Malware como Aplicativos Disfarçados

Um elemento comum das campanhas de malware atribuídas ao BlueNoroff é o uso de aplicativos disfarçados que parecem legítimos. Esses aplicativos são frequentemente distribuídos através de e-mails enganosos ou downloads de fontes não confiáveis. Uma vez instalados, eles permitem a execução de ações maliciosas sem serem facilmente detectados pela maioria dos usuários.

A utilização de backdoors em aplicativos crackeados tem se tornado uma prática alarmante, como evidenciado em campanhas passadas. Malwares como o RustDoor demonstram capacidades avançadas de download e upload de dados, além de executar comandos diretamente em um pseudoterminal, aumentando ainda mais a sofisticação dos ataques.

Técnicas de ‘Fly Under the Radar’

As táticas empregadas pelos atores de ameaças estão cada vez mais focadas em evitar a detecção. Um exemplo notável é a técnica de ‘fly under the radar’, onde o malware se oculta atrás de processos legítimos do sistema. Isso torna a detecção mais complicada para softwares de segurança tradicionais, ampliando a janela de vulnerabilidade.

Além disso, a malvertising, uma forma de publicidade maliciosa, tem se revelado uma técnica lucrativa para distribuir malware. Muitos dos armadilhas de phishing em criptomoedas são criados por fraudes que envolvem banners enganosos, levando as vítimas a realizar downloads que inadvertidamente instalariam malwares disfarçados.

Comparação com Técnicas Passadas

Evolução desde o Renepo/Opener

Desde o surgimento do Trojan horse Renepo/Opener em 2004, que expôs as primeiras vulnerabilidades do Mac OS X, a evolução das táticas de malware tem sido palpável. As técnicas atuais não apenas exploram vulnerabilidades, mas utilizam engenharia social avançada e métodos de obfuscação.

The Flashback Trojan de 2011, que comprometeu mais de 500.000 Macs, foi um marco em termos de escala, mas as ameaças contemporâneas são mais diversificadas e incluem ransomware e info-stealers que são capazes de roubar dados sem levantar suspeitas.

Novas Estratégias de Engenharia Social

À medida que técnicas de phishing se tornam mais sofisticadas, os atacantes estão utilizando métodos emocionais e psicológicos para enganar as vítimas. Por exemplo, propostas enganadoras de empregos no setor de criptoativos são frequentemente uma isca para disseminar malware.

Esses métodos exigem que as vítimas forneçam dados pessoais ou baixem programas aparentemente inofensivos, mas que estão infectados com código malicioso, o que demonstra o aumento da necessidade de vigilância constante.

Implicações para a Segurança

Proteções do TCC (Transparency, Consent, and Control)

As proteções do TCC no macOS são um avanço significativo na segurança, mas malwares sofisticados estão encontrando formas de contornar essas medidas. O macOS.NotLockBit, por exemplo, é um tipo de ransomware que requer consentimento do usuário para acessar certos diretórios, mas onde os invasores estão constantemente criando novas maneiras para burlar essas restrições.

Isso levanta a questão da eficácia das defesas e sublinha a necessidade de um monitoramento e atualização contínuos das opções de segurança de forma a proteger os sistemas e usuários.

Necessidade de Antivirus e Higiene Digital

Diante das ameaças em evolução, é essencial que os usuários de plataformas macOS adotem boas práticas de higiene digital. Isso inclui o uso de softwares antivírus robustos, evitando downloads desnecessários e incertos, além de estar atento a comunicações suspeitas.

As atualizações regulares do sistema operacional e de aplicativos também são indispensáveis para evitar que vulnerabilidades conhecidas sejam exploradas por malware.

Educação e Conscientização

Uma das defesas mais eficazes contra ameaças cibernéticas é a educação do usuário. Reconhecer e evitar mensagens de phishing e comportamentos de engenharia social são cruciais para a segurança digital.

Com a evolução das técnicas de ataque, é vital que os usuários se mantenham informados sobre as últimas diretrizes de segurança e as ameaças atuais, pois a conscientização é uma das melhores estratégias de defesa contra ataques cibernéticos.

Conheça mais:

#cibersegurança #engenhariadesocial #malware #cripto #blueNoroff #RPDC #phishing #alegon #cryptoalch

latest articles

explore more