Nordkoreanische Hacker nutzen Flutter für macOS-Malware

MÜNCHEN (IT BOLTWISE) – In einer neuen Entwicklung der Cyberbedrohungsszene haben nordkoreanische Hacker erstmals Malware in Flutter-Anwendungen eingebettet, um macOS-Geräte zu infizieren.

In einer bemerkenswerten Entwicklung der Cyberbedrohungsszene haben Hacker mit Verbindungen zur Demokratischen Volksrepublik Korea (DVRK) erstmals Malware in Flutter-Anwendungen eingebettet, um Apple macOS-Geräte zu infizieren. Diese Entdeckung wurde von Jamf Threat Labs gemacht, nachdem Artefakte auf der Plattform VirusTotal hochgeladen wurden. Die Flutter-Anwendungen sind Teil einer breiteren Aktivität, die auch Malware in Golang und Python umfasst.

Derzeit ist unklar, wie diese Malware-Beispiele an Opfer verteilt werden und ob sie bereits gegen Ziele eingesetzt wurden. Nordkoreanische Bedrohungsakteure sind bekannt für ihre umfangreichen Social-Engineering-Bemühungen, die sich auf Mitarbeiter von Kryptowährungs- und DeFi-Unternehmen konzentrieren. Jaron Bradley, Direktor bei Jamf Threat Labs, vermutet, dass diese spezifischen Beispiele noch getestet werden und möglicherweise noch nicht verbreitet wurden.

Jamf hat die bösartige Aktivität keiner spezifischen nordkoreanischen Hackergruppe zugeordnet, obwohl es wahrscheinlich das Werk einer Lazarus-Untergruppe namens BlueNoroff sein könnte. Diese Verbindung ergibt sich aus Infrastrukturüberschneidungen mit Malware, die als KANDYKORN bekannt ist, und der kürzlich von SentinelOne hervorgehobenen Hidden Risk-Kampagne.

Was die neue Malware besonders macht, ist die Verwendung von Flutter, einem plattformübergreifenden Anwendungsentwicklungs-Framework, um die Hauptnutzlast in Dart zu verbergen, während sie als voll funktionsfähiges Minesweeper-Spiel getarnt wird. Die App trägt den Namen „New Updates in Crypto Exchange (2024-08-28)“ und scheint ein Klon eines einfachen Flutter-Spiels für iOS zu sein, das öffentlich auf GitHub verfügbar ist.

Ein weiterer bedeutender Aspekt dieser Apps ist, dass sie mit Apple-Entwickler-IDs signiert wurden, was darauf hindeutet, dass die Bedrohungsakteure in der Lage sind, den Notarisierungsprozess von Apple zu umgehen. Die Signaturen wurden inzwischen von Apple widerrufen. Nach dem Start sendet die Malware eine Netzwerk-Anfrage an einen Remote-Server und ist so konfiguriert, dass sie AppleScript-Code ausführt, der vom Server empfangen wird, jedoch erst, nachdem er rückwärts geschrieben wurde.

Jamf identifizierte auch Varianten der Malware, die in Go und Python geschrieben sind, wobei letztere mit Py2App erstellt wurde. Diese Apps sind mit ähnlichen Fähigkeiten ausgestattet, um beliebige AppleScript-Nutzlasten auszuführen, die in der HTTP-Antwort des Servers empfangen werden. Diese Entwicklung zeigt, dass nordkoreanische Bedrohungsakteure aktiv Malware in verschiedenen Programmiersprachen entwickeln, um Kryptowährungsunternehmen zu infiltrieren.

Die Entdeckung dieser Malware-Varianten verdeutlicht die kontinuierlichen Bemühungen der nordkoreanischen Hacker, unentdeckt zu bleiben und ihre Malware bei jeder Veröffentlichung anders aussehen zu lassen. Im Fall der Dart-Sprache vermutet Jamf, dass die Akteure herausgefunden haben, dass Flutter-Anwendungen aufgrund ihrer App-Architektur nach der Kompilierung eine große Unklarheit bieten.