Nordkoreanische Hacker setzen innovative Malware ein, die auf macOS abzielt

Cybersicherheitsexperten haben nordkoreanische Hacker immer wieder für ihre dreisten Cyberangriffe kritisiert, die in erster Linie darauf abzielen, Gelder zu stehlen, um staatliche Initiativen zu unterstützen und internationale Sanktionen zu umgehen. Jüngste von Jamf durchgeführte Untersuchungen haben eine hochentwickelte Malware-Variante enthüllt, die mit diesen böswilligen Akteuren in Verbindung steht. Diese spezielle Malware wurde auf VirusTotal entdeckt, einem beliebten Dienst zum Scannen von Dateien auf bösartige Inhalte. Interessanterweise wurde die Malware zunächst als „sauber“ eingestuft. Die Schadsoftware gibt es in drei verschiedenen Versionen: eine wurde in Go entwickelt, eine andere in Python und eine dritte verwendet Flutter.

Flutter: Ein zweischneidiges Schwert für Entwickler und Cyberkriminelle

Flutter, ein von Google entwickeltes Open-Source-Framework, ermöglicht es Entwicklern, aus einer einzigen Dart-Codebasis Anwendungen für mehrere Plattformen – wie iOS und Android – zu erstellen. Dieses plattformübergreifende Dienstprogramm macht Flutter zu einem wertvollen Werkzeug für seriöse Entwickler, stellt aber auch eine attraktive Option für Cyberkriminelle dar. Die von Natur aus komplexe Codestruktur von Flutter kann Malware verbergen, was es für Sicherheitssysteme schwierig macht, potenzielle Bedrohungen zu erkennen.

Die getarnte Bedrohung: Ein geklontes Spiel

Die Malware operierte unter dem Deckmantel eines banalen Minesweeper-Spiels, das von GitHub geklont worden war. Ihre bösartige Absicht war in einer Dynamic Library (dylib)-Datei verborgen, die darauf abzielte, eine Verbindung mit einem Command-and-Control-Server (C2) unter herzustellen mbupdate.linkpc.net. Diese Domain wurde bereits mit nordkoreanischer Malware in Verbindung gebracht. Glücklicherweise stellte das Jamf-Team bei der Untersuchung fest, dass der Server inaktiv war und nur einen „404 Not Found“-Fehler zurückgab – wodurch der Angriff verhindert wurde.

Täuschende Ausführung und potenzielle Gefahren

Ein besonders cleverer Aspekt dieser Malware ist ihre Fähigkeit, AppleScript-Befehle auszuführen, die vom C2-Server gesendet werden. Dabei wird eine einzigartige Technik verwendet, bei der die Befehle rückwärts ausgeführt werden, um der Erkennung zu entgehen. Jamfs Experimente bestätigten, dass die Malware in der Lage ist, jeden AppleScript-Befehl aus der Ferne auszuführen – auch solche, die Hackern umfassende Kontrolle über infizierte Systeme gewähren könnten, wenn der Angriff ausgeführt worden wäre.

Schlussfolgerungen und Empfehlungen

Dieser Vorfall scheint ein vorläufiger Test der Hacker zu sein, der darauf hindeutet, dass sie ihre Techniken verfeinern, um Apples Sicherheitsmaßnahmen zu umgehen. Flutter selbst ist zwar nicht bösartig, aber sein Design trägt von Natur aus dazu bei, schädlichen Code zu verschleiern, was einen beunruhigenden Trend verdeutlicht, bei dem legitime Entwicklungstools für bösartige Zwecke missbraucht werden. Angesichts der sich entwickelnden Bedrohungen für die Cybersicherheit ist es für Benutzer, insbesondere in Unternehmensumgebungen, weiterhin unerlässlich, wachsam zu bleiben und bewährte Sicherheitspraktiken anzuwenden.

Quelle & Bilder