Tin tặc Triều Tiên (CHDCND Triều Tiên) đã bị phát hiện nhúng phần mềm độc hại vào các ứng dụng Flutter, đánh dấu lần đầu tiên chiến thuật này được đối thủ áp dụng để lây nhiễm các thiết bị macOS của Apple.
Jamf Threat Labs, công ty đã thực hiện khám phá dựa trên các hiện vật được tải lên nền tảng VirusTotal vào đầu tháng này, cho biết các ứng dụng do Flutter xây dựng là một phần của hoạt động rộng lớn hơn bao gồm phần mềm độc hại được viết bằng Golang và Python.
Hiện tại vẫn chưa biết làm thế nào các mẫu này được phân phối cho nạn nhân và nếu nó đã được sử dụng để chống lại bất kỳ mục tiêu nào, hoặc nếu những kẻ tấn công đang chuyển sang một phương thức phân phối mới. Điều đó nói rằng, các tác nhân đe dọa của Bắc Triều Tiên được biết là tham gia vào các nỗ lực kỹ thuật xã hội rộng lớn nhắm vào nhân viên của tiền điện tử và các doanh nghiệp tài chính phi tập trung.
Jamf đã không quy kết hoạt động độc hại cho một nhóm tin tặc cụ thể có liên quan đến Bắc Triều Tiên, mặc dù họ nói rằng nó có thể là công việc của một nhóm nhỏ Lazarus được gọi là BlueNoroff. Kết nối này bắt nguồn từ sự chồng chéo cơ sở hạ tầng với phần mềm độc hại được gọi là KANDYKORN và chiến dịch Rủi ro tiềm ẩn gần đây được SentinelOne nhấn mạnh.
Điều làm cho phần mềm độc hại mới nổi bật là việc sử dụng ứng dụng Flutter, một khung phát triển ứng dụng đa nền tảng, để nhúng tải trọng chính được viết bằng Dart, trong khi giả mạo như một trò chơi Minesweeper đầy đủ chức năng. Ứng dụng được đặt tên là "Cập nhật mới trong sàn giao dịch tiền điện tử (28/08/2024)".\
Hơn nữa, trò chơi dường như là một bản sao của một trò chơi Flutter cơ bản dành cho iOS có sẵn công khai trên GitHub. Điều đáng nói là việc sử dụng mồi nhử theo chủ đề trò chơi cũng đã được quan sát thấy cùng với một nhóm hack khác của Triều Tiên được theo dõi là Moonstone Sleet.
Các ứng dụng này cũng đã được ký và công chứng bằng ID nhà phát triển của Apple BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) và FAIRBANKS CURLING CLUB INC. (6W69GC943U), cho thấy các tác nhân đe dọa có thể vượt qua quy trình công chứng của Apple. Các chữ ký đã bị Apple thu hồi.
Sau khi khởi chạy, phần mềm độc hại sẽ gửi yêu cầu mạng đến máy chủ từ xa ("mbupdate.linkpc[.]net") và được cấu hình để thực thi mã AppleScript nhận được từ máy chủ, nhưng không phải trước khi nó được viết ngược.
Jamf cho biết họ cũng xác định các biến thể của phần mềm độc hại được viết bằng Go và Python, với phần mềm sau được xây dựng bằng Py2App. Các ứng dụng – được đặt tên là NewEra cho Stablecoin và DeFi, CeFi (Protected).app và Runner.app – được trang bị các khả năng tương tự để chạy bất kỳ tải trọng AppleScript nào nhận được trong phản hồi HTTP của máy chủ.
Sự phát triển mới nhất là một dấu hiệu cho thấy các tác nhân đe dọa CHDCND Triều Tiên đang tích cực phát triển phần mềm độc hại bằng cách sử dụng một số ngôn ngữ lập trình để xâm nhập vào các công ty tiền điện tử.