В последние годы киберпреступность стала одной из наиболее серьёзных угроз для цифровой индустрии, особенно для сектора криптовалют и блокчейн-технологий. На фоне ускоренного развития криптовалютных рынков северокорейские киберпреступники активизировали свои усилия, разрабатывая сложные вредоносные программы, направленные на кражу данных и взлом криптовалютных компаний. Недавно исследователи из IT-безопасности компании Sentinel обнаружили новую вредоносную кампанию, возглавляемую, как предполагается, группа North Korean Blue Noroff, которая использует специально созданное вредоносное ПО на платформе macOS для атак на криптофирмы. Главной целью этих атак являются компании, занятые разработкой и обслуживанием криптовалютных платформ, обменников, кошельков и других сервисов, связанных с цифровыми активами. Особенностью данной вредоносной кампании является использование многоступенчатого вредоносного ПО, адаптированного именно для устройств Apple с операционной системой macOS.
Такой подход демонстрирует уровень технической квалификации злоумышленников и осторожность в подборе целей. Сам метод заражения начинается с целенаправленных фишинговых писем, замаскированных под тематические новостные рассылки о криптовалютных трендах. Злоумышленники применяют тактику социальной инженерии, присылая письма от имени реальных лиц, часто известных в криптосообществе, чтобы вызвать доверие у получателей. В письмах содержатся ссылки на якобы PDF-файлы с привлекательными заголовками, например, «Скрытый риск за подъёмом цены на биткоин». Эта практика не только повышает вероятность клика пользователей, но и помогает скрыть вредоносный характер ссылки под видом информационных материалов.
Когда пользователь переходит по ссылке, на его Mac загружается и устанавливается особый компонент — dropper. Эта программа работает как загрузчик основного вредоносного кода, внедряя вредоносные файлы в систему и обеспечивая их скрытость. Сам dropper написан на языке Swift, разработанном Apple, что позволяет обойти определённые ограничения операционной системы и повысить доверие со стороны системы благодаря цифровой подписи и нотариальному заверению. Подпись была оформлена под видом легитимной компании под названием «Avantis Regtech Private Limited», однако позже Apple отозвала данную сертификатную подпись, обнаружив незаконную деятельность. Одновременно с установкой dropper отображает пользователю настоящий PDF-файл для отвлечения внимания.
Это помогает снизить подозрения и упрощает процесс заражения, ведь пользователь думает, что открыл полноценный документ. В это же время на заднем плане начинается загрузка дополнительного вредоносного кода, который нарушает защиту macOS, отключая систему безопасности App Transport. Такая манипуляция позволяет программе устанавливать ненадёжные соединения через HTTP на управляемые хакерами сервера, что обычно запрещено в macOS для обеспечения безопасности передачи данных. Основной вредоносный компонент внедряется в систему в виде модифицированного конфигурационного файла .zshenv, который располагается в скрытом каталоге домашней директории пользователя.
Особенность этого файла в том, что он является бинарным Mach-O форматом, совместимым с архитектурой x86-64, что делает его работоспособным на Intel-процессорах Mac. Для устройств на архитектуре Apple Silicon используется эмуляция Rosetta, позволяющая запускать приложения, созданные для Intel. Такой механизм гарантирует, что вредоносный код будет функционировать на большинстве современных Mac. Использование файла .zshenv для реализации вредоносного кода – относительно новый трюк.
До сих пор такая техника не была широко зафиксирована в реальных атаках. Этот способ позволяет обойти системы обнаружения постоянства (Persistence), введённые в macOS версии 13, которые обычно предупреждают пользователя о подозрительных процессах, в том числе при попытках создания или изменения LaunchAgents. Тем самым хакеры остаются незамеченными, а их код продолжает работу в фоновом режиме без прерываний. Примечательно, что злоумышленникам неоднократно удавалось получить действительные Apple developer ID и получать нотариальное подтверждение вредоносных приложений. Это указывает на высокую организацию и стабильный ресурсный потенциал северокорейских киберпреступников.
Такие особенности делают атаку особенно опасной для криптоиндустрии, где безопасность является первоочередным фактором, а утечки данных или контроль над ключами доступа могут привести к значительным финансовым потерям. Необходимо отметить, что Северная Корея активно использует кибератаки не только с преступными целями получения прибыли, но и для финансирования санкционированных международным сообществом программ по развитию ядерного оружия. Согласно сообщениям служб безопасности, северокорейские IT-специалисты предлагают свои услуги в качестве фрилансеров на различных онлайн-платформах, что свидетельствует о наличии широкой сети и стратегической организации таких атак. Для криптовалютных компаний, владельцев Mac-устройств и конечных пользователей крайне важно быть осведомлёнными о подобных угрозах и предпринимать проактивные шаги по защите своих систем. Регулярное обновление операционной системы, использование надежных антивирусных средств, повышение уровня осведомления сотрудников о возможных фишинговых атаках и реализация многофакторной аутентификации смогут значительно снизить риски.
Кибербезопасность в криптосфере требует постоянного внимания и адаптации к новым методам атак. Северокорейская кампания с использованием macOS-мошенничества демонстрирует, что злоумышленники совершенствуют свои техники, делают их все более изощрёнными и целенаправленными. Поэтому, чтобы сохранить доверие клиентов и обеспечить безопасную работу компании, необходимо активно инвестировать в современные инструменты безопасности и проводить обучение сотрудников по вопросам киберугроз. Подводя итог, можно сказать, что обнаруженная вредоносная кампания представляет собой значительную угрозу для криптовалютного бизнеса и IT-инфраструктур на macOS. Обнаружение и анализ этой деятельности позволяют лучше понять тактики и техники злоумышленников, которые продолжают искать новые способы обхода защиты и эксплуатации доверия пользователей.
Важно не только применять технические меры, но и развивать культуру безопасности внутри криптовалютных организаций, чтобы минимизировать последствия подобного рода атак.
