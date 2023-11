Een nieuw ontdekte malwarevariant voor macOS richt zijn pijlen specifiek op crypto exchanges. Aanvallers creëren hierbij een domein dat veel lijkt op het domein van een legitieme cryptoplatform, met als doel de communicatie met hun malware op te laten gaan in het legitieme netwerkverkeer.

Hiervoor waarschuwen onderzoekers van Jamf Threat Labs, die de malware toeschrijven aan de BlueNoroff APT-groep. Deze groep richt zich in veel gevallen op cryptobeurzen, venture capital-bedrijven en banken. De aanvallers zijn financieel gemotiveerd, melden de onderzoekers.

Domeinnaam van cryptobeurs nagebootst

De onderzoekers identificeerde een binary genaamd ProcessRequest, die communiceert met het domein swissborg[.]blog. Deze domeinnaam lijkt veel op het legitieme domein swissborg.com, waarop de cryptocurrency exchange SwissBorg actief is. Ook host SwissBorg op swissborg.com/blog een blog.

De werkwijze van de aanvallers komt overeen met activiteiten van BlueNoroff die de onderzoekers eerder zagen bij de Rustbucket-campagne. De aanvallers stelden hierbij tegenover slachtoffers geïnteresseerd te zijn in een samenwerking, of deden zich voor als investeerder of headhunter. BlueNoroff werkt bij aanvallen vaak met een domein dat veel lijkt op dat van een legitiem cryptobedrijf, met als doel hun malafide verkeer te laten opgaan in legitiem netwerkverkeer.

Op afstand opdrachten uitvoeren

Jamf wijst erop dat de malware op afstand opdrachten kan uitvoeren. Dit geeft aanvallers onder meer de mogelijkheid gecompromitteerde systemen op afstand te bedienen en beheren. De malware is geschreven in Objective-C. Het werkt als een eenvoudige remote shell, die shellcommando's uitvoert. De shell communiceert met de C2-server via POST-berichten, die het naar een specifieke URL stuurt. Ook verzamelt de malware informatie over het geïnfecteerde macOS-systeem.