Cybersicherheitsforscher von Jamf Threat Labs haben eine besorgniserregende Entwicklung aufgedeckt: Nordkoreanische Hackergruppen setzen das Flutter-Framework ein, um hochentwickelte Malware für macOS-Systeme zu entwickeln. Besonders alarmierend ist die Tatsache, dass diese Schadsoftware erfolgreich Apples strenge Sicherheitsprüfungen durchläuft und sowohl offizielle Signaturen als auch die Notarisierung erhält.
Innovative Malware-Entwicklung mit Flutter-Framework
Die Angreifer nutzen Google Flutter, ein beliebtes Framework für plattformübergreifende Entwicklung, auf eine neuartige Weise. Die schädlichen Komponenten werden in dynamische Bibliotheken (dylib) eingebettet, die erst zur Laufzeit durch die Flutter-Engine geladen werden. Diese fortschrittliche Technik erschwert die Erkennung durch traditionelle Sicherheitslösungen erheblich, da der maligne Code erst spät im Ausführungsprozess aktiviert wird.
Raffinierte Tarnungsstrategie der Schadsoftware
Die identifizierten Malware-Applikationen tarnen sich als legitime Kryptowährungs-Tools. Bei der Ausführung zeigen sie harmlose Aktivitäten wie das Starten des Spiels Minesweeper, während im Hintergrund Command-and-Control-Verbindungen aufgebaut werden. Die implementierte Funktionalität ermöglicht die Ausführung beliebiger AppleScript-Befehle, die von den Angreifern ferngesteuert werden können.
Missbrauch legitimer Entwickler-Identitäten
Ein kritischer Aspekt dieser Kampagne ist die Verwendung gültiger Apple-Entwickler-IDs. Fünf der sechs entdeckten Anwendungen trugen Signaturen legitimer Organisationen wie BALTIMORE JEWISH COUNCIL, INC. und FAIRBANKS CURLING CLUB INC. Diese Authentifizierung ermöglichte es der Malware, Apples Sicherheitskontrollen zu passieren und sich ungehindert auf Zielsystemen zu installieren.
Diversifizierte Angriffsvektoren
Neben Flutter-basierten Anwendungen wurden auch Malware-Varianten identifiziert, die mit Golang und Python entwickelt wurden. Diese Versionen zeigen ähnliche Fähigkeiten zur Kommunikation mit nordkoreanischen Command-and-Control-Servern und zur Ausführung von Schadcode.
Als Reaktion auf diese Entdeckung hat Apple umgehend die kompromittierten Entwickler-Zertifikate widerrufen, wodurch die Ausführung der betroffenen Anwendungen auf aktuellen macOS-Versionen verhindert wird. Dieser Vorfall unterstreicht die Notwendigkeit kontinuierlicher Verbesserungen der Sicherheitsmechanismen und einer strengeren Überprüfung bei der App-Notarisierung. Organisationen und Benutzer sollten ihre Sicherheitsmaßnahmen überprüfen und sicherstellen, dass ihre Systeme auf dem neuesten Stand sind, um sich vor solchen hochentwickelten Bedrohungen zu schützen.
