MÜNCHEN (IT BOLTWISE) – In einer neuen Entwicklung der Cyberbedrohungsszene haben nordkoreanische Hacker erstmals Malware in Flutter-Anwendungen eingebettet, um macOS-Geräte zu infizieren.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
In einer bemerkenswerten Entwicklung der Cyberbedrohungsszene haben Hacker mit Verbindungen zur Demokratischen Volksrepublik Korea (DVRK) erstmals Malware in Flutter-Anwendungen eingebettet, um Apple macOS-Geräte zu infizieren. Diese Entdeckung wurde von Jamf Threat Labs gemacht, nachdem Artefakte auf der Plattform VirusTotal hochgeladen wurden. Die Flutter-Anwendungen sind Teil einer breiteren Aktivität, die auch Malware in Golang und Python umfasst.
Derzeit ist unklar, wie diese Malware-Beispiele an Opfer verteilt werden und ob sie bereits gegen Ziele eingesetzt wurden. Nordkoreanische Bedrohungsakteure sind bekannt für ihre umfangreichen Social-Engineering-Bemühungen, die sich auf Mitarbeiter von Kryptowährungs- und DeFi-Unternehmen konzentrieren. Jaron Bradley, Direktor bei Jamf Threat Labs, vermutet, dass diese spezifischen Beispiele noch getestet werden und möglicherweise noch nicht verbreitet wurden.
Jamf hat die bösartige Aktivität keiner spezifischen nordkoreanischen Hackergruppe zugeordnet, obwohl es wahrscheinlich das Werk einer Lazarus-Untergruppe namens BlueNoroff sein könnte. Diese Verbindung ergibt sich aus Infrastrukturüberschneidungen mit Malware, die als KANDYKORN bekannt ist, und der kürzlich von SentinelOne hervorgehobenen Hidden Risk-Kampagne.
Was die neue Malware besonders macht, ist die Verwendung von Flutter, einem plattformübergreifenden Anwendungsentwicklungs-Framework, um die Hauptnutzlast in Dart zu verbergen, während sie als voll funktionsfähiges Minesweeper-Spiel getarnt wird. Die App trägt den Namen “New Updates in Crypto Exchange (2024-08-28)” und scheint ein Klon eines einfachen Flutter-Spiels für iOS zu sein, das öffentlich auf GitHub verfügbar ist.
Ein weiterer bedeutender Aspekt dieser Apps ist, dass sie mit Apple-Entwickler-IDs signiert wurden, was darauf hindeutet, dass die Bedrohungsakteure in der Lage sind, den Notarisierungsprozess von Apple zu umgehen. Die Signaturen wurden inzwischen von Apple widerrufen. Nach dem Start sendet die Malware eine Netzwerk-Anfrage an einen Remote-Server und ist so konfiguriert, dass sie AppleScript-Code ausführt, der vom Server empfangen wird, jedoch erst, nachdem er rückwärts geschrieben wurde.
Jamf identifizierte auch Varianten der Malware, die in Go und Python geschrieben sind, wobei letztere mit Py2App erstellt wurde. Diese Apps sind mit ähnlichen Fähigkeiten ausgestattet, um beliebige AppleScript-Nutzlasten auszuführen, die in der HTTP-Antwort des Servers empfangen werden. Diese Entwicklung zeigt, dass nordkoreanische Bedrohungsakteure aktiv Malware in verschiedenen Programmiersprachen entwickeln, um Kryptowährungsunternehmen zu infiltrieren.
Die Entdeckung dieser Malware-Varianten verdeutlicht die kontinuierlichen Bemühungen der nordkoreanischen Hacker, unentdeckt zu bleiben und ihre Malware bei jeder Veröffentlichung anders aussehen zu lassen. Im Fall der Dart-Sprache vermutet Jamf, dass die Akteure herausgefunden haben, dass Flutter-Anwendungen aufgrund ihrer App-Architektur nach der Kompilierung eine große Unklarheit bieten.
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Nordkoreanische Hacker nutzen Flutter für macOS-Malware".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Nordkoreanische Hacker nutzen Flutter für macOS-Malware" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Nordkoreanische Hacker nutzen Flutter für macOS-Malware" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.