Phần mềm độc hại Bắc Triều Tiên né tránh chứng nhận của Apple, nhắm mục tiêu vào người dùng macOS

Các hacker Bắc Triều Tiên dường như đã tạo ra phần mềm độc hại mà đã né tránh các kiểm tra bảo mật của Apple. Các ứng dụng dường như là thử nghiệm, các nhà nghiên cứu tại Jamf Threat Labs của Apple cho biết. Đây là lần đầu tiên họ thấy công nghệ này được sử dụng để xâm phạm hệ điều hành macOS của Apple, nhưng nó sẽ không chạy trên các hệ thống cập nhật.

Vũ khí hóa một điểm yếu bảo mật

Các nhà nghiên cứu tại Jamf Threat Labs đã tìm thấy các ứng dụng có ý định xấu mà đã được báo cáo là sạch bởi dịch vụ quét trực tuyến VirusTotal của Microsoft. Chúng được tìm thấy trong các biến thể được viết bằng ngôn ngữ Go và Python và sử dụng ứng dụng Google Flutter.

Flutter là một bộ công cụ phát triển mã nguồn mở cho phép tạo ra các ứng dụng đa nền tảng.

Năm trong số sáu ứng dụng độc hại có chữ ký tài khoản nhà phát triển và đã được tạm thời chứng nhận bởi Apple. Các nhà nghiên cứu đã viết:

“Các miền và kỹ thuật trong phần mềm độc hại phù hợp chặt chẽ với những kỹ thuật được sử dụng trong các phần mềm độc hại khác của DPRK [Cộng hòa Dân chủ Nhân dân Triều Tiên — Bắc Triều Tiên] và cho thấy dấu hiệu rằng, vào một thời điểm nào đó, phần mềm độc hại này đã được ký và thậm chí đã tạm thời vượt qua quy trình chứng nhận của Apple.”

“Trong trường hợp này, không rõ liệu phần mềm độc hại đã được sử dụng chống lại bất kỳ mục tiêu nào hay nếu kẻ tấn công đang chuẩn bị cho một hình thức giao hàng mới,” họ nói thêm. Họ kết luận rằng điều này “có khả năng đang thử nghiệm để tăng cường khả năng vũ khí hóa.”

Phần mềm độc hại có những tên gọi liên quan đến tiền điện tử, chẳng hạn như Cập nhật mới trong Sàn giao dịch Crypto, Kỷ nguyên mới cho Stablecoins và DeFi, CeFi, và Rủi ro Multisig trong Stablecoin và Tài sản Crypto, điều này gợi ý về mục tiêu cuối cùng của các hacker. Khi Cập nhật mới trong Sàn giao dịch Crypto được thực thi, nó đã mở một trò chơi minesweeper đã được sửa đổi.

Những hacker có tổ chức làm điều đó tốt nhất

Các hacker Bắc Triều Tiên có danh tiếng xứng đáng về sự sáng tạo. Họ đã bị bắt gặp khai thác một lỗ hổng trong Chrome vào tháng Mười để đánh cắp thông tin đăng nhập ví tiền điện tử. Các cáo buộc đã được đưa ra cùng tháng rằng người Bắc Triều Tiên đã có tay trong việc phát triển Mô-đun Staking Liquid của mạng Cosmos.

Nguồn: Jamf

Các hacker rất có tổ chức và được cho là thu về hàng trăm nghìn đô la tiền điện tử mỗi tháng và đã kiếm được khoảng 3 tỷ đô la trong sáu năm qua, theo Liên hợp quốc.

Tạp chí: Khai thác ưa thích của Nhóm Lazarus được tiết lộ — Phân tích các vụ tấn công Crypto