Em uma estratégia ousada, hackers norte-coreanos criam e seus apps Flutter são usados para contornar a segurança do macOS.
Atores de ameaças norte-coreanos têm como alvo sistemas Apple macOS usando aplicativos Notepad trojanizados e jogos de caça-minas criados com Flutter, que são assinados e autenticados por um ID de desenvolvedor Apple legítimo.
Isso significa que os aplicativos maliciosos, mesmo que temporariamente, passaram pelas verificações de segurança da Apple, então os sistemas macOS os tratam como verificados e permitem que sejam executados sem restrições.
Apps Flutter são usados para contornar a segurança do macOS
Os nomes dos aplicativos são centrados em temas de criptomoeda, o que se alinha com os interesses dos hackers norte-coreanos em roubo financeiro.
De acordo com o Jamf Threat Labs, que descobriu a atividade, a campanha parece mais um experimento para contornar a segurança do macOS do que uma operação completa e altamente direcionada.
A partir de novembro de 2024, a Jamf descobriu vários aplicativos no VirusTotal que pareciam completamente inócuos para todas as varreduras de AV, mas apresentavam funcionalidade de “estágio um”, conectando-se a servidores associados a atores norte-coreanos.
Todos os aplicativos foram criados para macOS usando a estrutura Flutter do Google, que permite que os desenvolvedores criem aplicativos compilados nativamente para diferentes sistemas operacionais usando uma única base de código escrita na linguagem de programação Dart.
“Não é inédito que atores incorporem malware em um aplicativo baseado em Flutter, no entanto, esta é a primeira vez que vemos esse invasor usando-o para perseguir dispositivos macOS”, explicaram os pesquisadores da Jamf Ferdous Saljooki e Jaron Bradley.
Essa abordagem não apenas dá versatilidade aos autores de malware, mas também torna o código malicioso mais difícil de detectar porque ele é incorporado em uma biblioteca dinâmica (dylib), que é carregada pelo mecanismo Flutter em tempo de execução.
Após uma análise mais aprofundada de um dos aplicativos baseados em Flutter, chamado ‘New Updates in Crypto Exchange (2024-08-28).app’, a Jamf descobriu que o código ofuscado em dylib suportava a execução do AppleScript, permitindo que ele executasse scripts enviados de um servidor de comando e controle (C2).
O aplicativo abre um jogo Minesweeper para macOS, cujo código está disponível gratuitamente no GitHub.
Cinco dos seis aplicativos maliciosos descobertos por Jamf foram assinados usando um ID de desenvolvedor legítimo, e o malware passou por autenticação, o que significa que os aplicativos foram escaneados pelos sistemas automatizados da Apple e considerados seguros.
Jamf também descobriu variantes baseadas em Golang e Python, chamadas ‘New Era for Stablecoins and DeFi, CeFi (Protected).app’ e ‘Runner.app’, com o último apresentado como um aplicativo simples do Bloco de Notas.
Ambos fizeram solicitações de rede para um domínio conhecido vinculado à RPDC, ‘mbupdate.linkpc[.]net’, e apresentaram recursos de execução de script.
A Apple revogou as assinaturas dos aplicativos descobertos por Jamf, para que eles não contornem as defesas do Gatekeeper se forem carregados em um sistema macOS atualizado.
No entanto, não está claro se esses aplicativos foram usados em operações reais ou apenas em testes “in-the-wild” para avaliar técnicas para contornar software de segurança.
O fato de haver várias variantes dos mesmos aplicativos subjacentes apoia essa teoria, mas, por enquanto, as especificidades dessa operação permanecem desconhecidas.