Nieuws
image

Crypto exchanges aangevallen met nieuwe macOS-malware

woensdag 8 november 2023, 12:52 door Redactie, 3 reacties

Een nieuw ontdekte malwarevariant voor macOS richt zijn pijlen specifiek op crypto exchanges. Aanvallers creëren hierbij een domein dat veel lijkt op het domein van een legitieme cryptoplatform, met als doel de communicatie met hun malware op te laten gaan in het legitieme netwerkverkeer.

Hiervoor waarschuwen onderzoekers van Jamf Threat Labs, die de malware toeschrijven aan de BlueNoroff APT-groep. Deze groep richt zich in veel gevallen op cryptobeurzen, venture capital-bedrijven en banken. De aanvallers zijn financieel gemotiveerd, melden de onderzoekers.

Domeinnaam van cryptobeurs nagebootst

De onderzoekers identificeerde een binary genaamd ProcessRequest, die communiceert met het domein swissborg[.]blog. Deze domeinnaam lijkt veel op het legitieme domein swissborg.com, waarop de cryptocurrency exchange SwissBorg actief is. Ook host SwissBorg op swissborg.com/blog een blog.

De werkwijze van de aanvallers komt overeen met activiteiten van BlueNoroff die de onderzoekers eerder zagen bij de Rustbucket-campagne. De aanvallers stelden hierbij tegenover slachtoffers geïnteresseerd te zijn in een samenwerking, of deden zich voor als investeerder of headhunter. BlueNoroff werkt bij aanvallen vaak met een domein dat veel lijkt op dat van een legitiem cryptobedrijf, met als doel hun malafide verkeer te laten opgaan in legitiem netwerkverkeer.

Op afstand opdrachten uitvoeren

Jamf wijst erop dat de malware op afstand opdrachten kan uitvoeren. Dit geeft aanvallers onder meer de mogelijkheid gecompromitteerde systemen op afstand te bedienen en beheren. De malware is geschreven in Objective-C. Het werkt als een eenvoudige remote shell, die shellcommando's uitvoert. De shell communiceert met de C2-server via POST-berichten, die het naar een specifieke URL stuurt. Ook verzamelt de malware informatie over het geïnfecteerde macOS-systeem.

Reacties (3)
09-11-2023, 10:30 door Anoniem
Dit is alleen maar een waarschuwing van malware software toegeschreven aan de BlueNoroff APT-groep. Boeien. Het wordt pas interessant als er ook systemen daadwerkelijk geïnfecteerd worden in de praktijk en dat lees ik niet. Het blijft bij een waarschuwing of "Although it is not entirely clear how initial access was achieved"
09-11-2023, 11:59 door _R0N_
Door Anoniem: Dit is alleen maar een waarschuwing van malware software toegeschreven aan de BlueNoroff APT-groep. Boeien. Het wordt pas interessant als er ook systemen daadwerkelijk geïnfecteerd worden in de praktijk en dat lees ik niet. Het blijft bij een waarschuwing of "Although it is not entirely clear how initial access was achieved"

Geeft die laatste zin niet juist aan dat er misbruik bekend is maar dat niet duidelijk is hoe deze op de machine gekomen is?
Dit is niet echt een waarschuwing maar een ontdekking van misbruik.
09-11-2023, 12:21 door Anoniem
Door _R0N_:
Door Anoniem: Dit is alleen maar een waarschuwing van malware software toegeschreven aan de BlueNoroff APT-groep. Boeien. Het wordt pas interessant als er ook systemen daadwerkelijk geïnfecteerd worden in de praktijk en dat lees ik niet. Het blijft bij een waarschuwing of "Although it is not entirely clear how initial access was achieved"

Geeft die laatste zin niet juist aan dat er misbruik bekend is maar dat niet duidelijk is hoe deze op de machine gekomen is?
Dit is niet echt een waarschuwing maar een ontdekking van misbruik.
Artikel lijkt alleen maar een beschrijving van de malware maar het blijft vaag: Based on previous attacks performed by BlueNoroff, we suspect that this malware was a late stage within a multi-stage malware delivered via social engineering.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure