Se ha descubierto que los actores de amenazas con vínculos con la República Popular Democrática de Corea (RPDC, también conocida como Corea del Norte) incorporan malware en las aplicaciones Flutter, lo que marca la primera vez que el adversario adopta esta táctica para infectar dispositivos Apple macOS.
Jamf Threat Labs, que hizo el descubrimiento basándose en artefactos cargados en la plataforma VirusTotal a principios de este mes, dijo que las aplicaciones creadas por Flutter son parte de una actividad más amplia que incluye malware escrito en Golang y Python.
Actualmente no se sabe cómo se distribuyen estas muestras a las víctimas, ni si se han utilizado contra algún objetivo o si los atacantes están cambiando a un nuevo método de entrega. Dicho esto, se sabe que los actores de amenazas norcoreanos participan en amplios esfuerzos de ingeniería social dirigidos a empleados de empresas de criptomonedas y finanzas descentralizadas.
“Sospechamos que estos ejemplos específicos son pruebas”, dijo a The Hacker News Jaron Bradley, director de Jamf Threat Labs. “Es posible que aún no hayan sido distribuidos. Es difícil saberlo. Pero sí. Las técnicas de ingeniería social del atacante han funcionado muy bien en el pasado y sospechamos que continuarían usando estas técnicas”.
Jamf no ha atribuido la actividad maliciosa a un grupo de hackers específico vinculado a Corea del Norte, aunque dijo que probablemente podría ser el trabajo de un subgrupo de Lazarus conocido como BlueNoroff. Esta conexión surge de las superposiciones de infraestructura con el malware denominado KANDYKORN y la campaña Hidden Risk destacada recientemente por Sentinel One.
Lo que hace que el nuevo malware se destaque es el uso de la aplicación Flutter, un marco de desarrollo de aplicaciones multiplataforma, para incorporar la carga principal escrita en Dart, mientras se hace pasar por un juego Buscaminas completamente funcional. La aplicación se llama “Nuevas actualizaciones en Crypto Exchange (28/08/2024)”.
Es más, el juego parece ser un clon de un juego básico de Flutter para iOS que está disponible públicamente en GitHub. Vale la pena señalar que el uso de señuelos con temas de juegos también se ha observado en conjunto con otro grupo de piratería norcoreano rastreado como Moonstone Sleet.
Estas aplicaciones también han sido firmadas y certificadas ante notario utilizando los ID de desarrollador de Apple BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) y FAIRBANKS CURLING CLUB INC. (6W69GC943U), lo que sugiere que los actores de amenazas pueden eludir el proceso de certificación notarial de Apple. Desde entonces, Apple ha revocado las firmas.
Una vez iniciado, el malware envía una solicitud de red a un servidor remoto (“mbupdate.linkpc(.)net”) y está configurado para ejecutar el código AppleScript recibido del servidor, pero no antes de escribirlo al revés.
Jamf dijo que también identificó variantes del malware escrito en Go y Python, este último construido con Py2App. Las aplicaciones, denominadas NewEra para Stablecoins y DeFi, CeFi (Protected).app y Runner.app, están equipadas con capacidades similares para ejecutar cualquier carga útil de AppleScript recibida en la respuesta HTTP del servidor.
El último acontecimiento es una señal de que los actores de amenazas de la RPDC están desarrollando activamente malware utilizando varios lenguajes de programación para infiltrarse en empresas de criptomonedas.
“El malware descubierto por el actor en los últimos años viene en muchas variantes diferentes con iteraciones actualizadas con frecuencia”, dijo Bradley. “Sospechamos que esto es en un esfuerzo por pasar desapercibido y mantener el malware con un aspecto diferente en cada lanzamiento. En el caso del lenguaje Dart, sospechamos que se debe a que los actores descubrieron que las aplicaciones Flutter generan una gran oscuridad debido a su arquitectura de aplicación una vez compiladas”.
