Специалисты по кибербезопасности из Jamf Threat Labs обнаружили новую тактику северокорейских хакеров, использующих фреймворк Flutter для создания вредоносных приложений под macOS. Особую опасность представляет тот факт, что малварь успешно проходит проверку безопасности Apple, получая официальную подпись и нотаризацию.
Технические особенности вредоносных приложений
Злоумышленники разработали серию приложений с использованием Google Flutter — популярного фреймворка для кроссплатформенной разработки. Вредоносный код интегрируется в динамическую библиотеку (dylib), которая загружается движком Flutter во время выполнения. Такой подход существенно затрудняет обнаружение вредоносной активности традиционными средствами защиты.
Механизм работы и маскировка малвари
Исследователи выявили, что вредоносные приложения маскируются под легитимное ПО, связанное с криптовалютной тематикой. При запуске они демонстрируют безобидное поведение, например, открывают игру Minesweeper, одновременно устанавливая связь с командными серверами злоумышленников. Обнаруженный обфусцированный код способен выполнять произвольные AppleScript-команды, получаемые от атакующих.
Легитимные подписи как инструмент обхода защиты
Особую обеспокоенность вызывает использование хакерами действительных идентификаторов разработчиков Apple. Пять из шести обнаруженных приложений были подписаны легитимными ID: BALTIMORE JEWISH COUNCIL, INC. и FAIRBANKS CURLING CLUB INC. Успешное прохождение нотаризации Apple позволило вредоносам беспрепятственно запускаться на целевых системах.
Дополнительные варианты атак
Помимо Flutter-приложений, исследователи обнаружили вредоносное ПО, созданное с использованием Golang и Python. Эти варианты также демонстрировали способность к сетевому взаимодействию с известными северокорейскими доменами и выполнению произвольного кода.
В ответ на выявленную угрозу Apple оперативно отозвала подписи скомпрометированных приложений, что предотвращает их запуск на актуальных версиях macOS. Хотя пока неясно, использовались ли эти приложения в реальных атаках или служили для тестирования методов обхода защиты, данный инцидент демонстрирует необходимость постоянного совершенствования механизмов безопасности операционных систем и более тщательной проверки приложений при нотаризации.
