Новый троянец BlueNoroff атакует пользователей macOS

Недавно мы обнаружили новый вариант вредоносного загрузчика для macOS, предположительно связанного с APT-группировкой BlueNoroff и ее продолжающейся вредоносной кампанией, также известной как RustBucket. Эта группировка атакует финансовые организации, в частности — компании, чья деятельность так или иначе связана с криптовалютой, а также отдельных пользователей, владеющих криптовалютными активами или интересующихся этой темой. Впервые информация о новом загрузчике появилась в посте в социальной сети X (бывший Твиттер).

Первый пост о новом загрузчике в Х (Твиттере)

Ранее цепочка распространения вредоносной нагрузки в рамках кампании RustBucket начиналась с приложения, мимикрировавшего под утилиту для просмотра PDF-файлов. В нынешнем же варианте вредоносный загрузчик распространялся внутри ZIP-архива и маскировался под PDF-файл с именем «Crypto-assets and their risks for financial stability» и иконкой, на которой изображен титульный лист соответствующего документа. Согласно метаданным, сохранившимся в ZIP-архиве, приложение было создано 21 октября 2023 года.

Структура приложения

Иконка приложения

Как именно распространялся архив, неизвестно. Возможно, злоумышленники рассылали его жертвам по почте, как и в прошлые свои кампании.

На момент обнаружения приложение имело валидную подпись, однако сейчас сертификат уже отозван:

Информация о подписи приложения

Исполняемый файл написан на языке Swift, имеет имя EdoneViewer и представляет собой файл универсального формата, содержащий версии для устройств как на процессорах Intel, так и на Apple Silicon. Вредоносная нагрузка в нем зашифрована с помощью XOR и расшифровывается в главной функции — CalculateExtameGCD. В процессе расшифровки в терминал выводятся сообщения, не связанные с настоящим назначением функции и призванные усыпить бдительность аналитика.

Расшифрованная нагрузка представляет собой сценарий AppleScript:

Сценарий AppleScript, выполняющийся после расшифровки

Назначение этого сценария — собрать и выполнить shell-команду:

Shell-команда

Собранная shell-команда выполняет следующие действия:

• Скачивает .pdf-файл, сохраняет по пути /Users/Shared/Crypto-assets and their risks for financial stability.pdf и открывает его. Этот файл не является вредоносным и запускается для отвлечения внимания пользователя:
  

  Титульная страница .pdf-обманки

• Делает POST-запрос на сервер и сохраняет ответ в скрытый файл /Users/Shared/.pw.
• Выдает этому файлу права и запускает его, передав в качестве аргумента адрес C&C-сервера.

C&C-сервер расположен на домене hxxp://on-global[.]xyz, который зарегистрирован совсем недавно — 20.10.2023. Связи этого домена с другими файлами и угрозами мы не обнаружили.

Файл .pw — троянец, обнаруженный нами еще в августе. Как и загрузчик, он представляет собой файл универсального формата:

Информация о файле .pw

Он собирает и отправляет на командный сервер следующую информацию о системе:

• имя компьютера;
• версию операционной системы;
• часовой пояс устройства;
• дату запуска устройства;
• дату установки операционной системы;
• текущее время;
• список выполняющихся в системе процессов.

Сбор и отправка данных осуществляются циклически, с интервалом в минуту. В ответ троянец ожидает от сервера одну из трех команд:

В случае если сервер пришлет команду 0х0, программа сохранит данные, переданные вместе с командой, в скрытый файл /Users/Shared/.pld, выдаст ему права на запись, чтение и запуск и выполнит его:

Участок кода, отвечающий за запись и выполнение загруженного файла

К сожалению, на момент проведения анализа сервер так и не прислал ни одной команды, из-за чего выяснить содержимое следующего этапа атаки не представилось возможным. Описанный троянец уже детектируется большинством антивирусных вендоров:

Информация о втором загружаемом файле на VirusTotal

Индикаторы компрометации

Файлы

Ссылки