Команда дослідників Jamf Threat Labs виявила серйозну загрозу для користувачів MacOS – нову тактику північнокорейських хакерів, які використовують фреймворк Flutter для створення шкідливого програмного забезпечення. Особливе занепокоєння викликає здатність цієї малварі успішно проходити систему безпеки Apple, отримуючи офіційну цифрову підпис та нотаризацію.
Інноваційний підхід до створення шкідливого ПЗ
Зловмисники розробили серію додатків з використанням Google Flutter – потужного інструменту для крос-платформної розробки. Шкідливий код інтегрується через динамічну бібліотеку (dylib), яка завантажується рушієм Flutter під час виконання програми. Такий технічний підхід суттєво ускладнює виявлення зловмисної активності традиційними засобами антивірусного захисту.
Методи маскування та механізми зараження
Аналіз показав, що шкідливі додатки маскуються під легітимне програмне забезпечення, пов’язане з криптовалютами. При запуску вони демонструють нешкідливу поведінку, наприклад, запускають гру Minesweeper, одночасно встановлюючи приховане з’єднання з командними серверами зловмисників для отримання подальших інструкцій.
Експлуатація легітимних сертифікатів Apple
Критичним аспектом цієї загрози є використання хакерами дійсних ідентифікаторів розробників Apple. П’ять із шести виявлених додатків були підписані легітимними сертифікатами організацій BALTIMORE JEWISH COUNCIL, INC. та FAIRBANKS CURLING CLUB INC. Успішне проходження процесу нотаризації Apple дозволило шкідливому ПЗ безперешкодно запускатися на цільових системах.
Розширення арсеналу атак
Окрім Flutter-додатків, дослідники виявили шкідливе ПЗ, розроблене з використанням мов програмування Golang та Python. Ці варіанти також демонстрували можливості мережевої взаємодії з відомими північнокорейськими доменами та виконання довільного коду на заражених системах.
У відповідь на виявлену загрозу компанія Apple оперативно відкликала сертифікати скомпрометованих додатків, що унеможливлює їх запуск на актуальних версіях MacOS. Цей інцидент демонструє необхідність постійного вдосконалення механізмів безпеки операційних систем та впровадження більш суворих процедур перевірки додатків при нотаризації. Користувачам MacOS рекомендується регулярно оновлювати операційну систему та встановлювати програмне забезпечення виключно з довірених джерел.
