Hackers norte-coreanos estão mirando empresas de criptomoedas com uma nova campanha de malware chamada Hidden Risk, que infecta dispositivos macOS. Segundo a empresa de segurança SentinelOne, essa ação foi atribuída ao grupo BlueNoroff, conhecido por associar-se a malwares como RustBucket e KANDYKORN. O ataque utiliza e-mails falsos com supostas notícias de criptomoedas para enganar funcionários de empresas do setor financeiro, em particular de DeFi (finanças descentralizadas), e induzi-los a baixar um aplicativo malicioso disfarçado de arquivo PDF.

Essa campanha, que teve início em julho de 2024, é caracterizada por abordagens de engenharia social complexas, direcionadas a construir confiança com as vítimas ao longo do tempo. Em outubro de 2024, um caso foi identificado quando o grupo enviou um link de phishing para um app chamado “Hidden Risk Behind New Surge of Bitcoin Price.app”, hospedado em um site falso. O malware, escrito em Swift, contava com uma assinatura de desenvolvedor legítima da Apple, que posteriormente foi revogada.

Quando executado, o app exibe um PDF falso e, ao mesmo tempo, instala um backdoor que permite ao hacker executar comandos remotamente. Além disso, o malware emprega uma nova técnica de persistência no macOS, explorando o arquivo de configuração zshenv para evitar notificações de segurança introduzidas na versão macOS Ventura. Isso torna o ataque ainda mais furtivo, já que o método convencional de notificação para métodos de persistência, como LaunchAgents, é ignorado.

O BlueNoroff utiliza também provedores de hospedagem como Quickpacket e Namecheap, configurando uma infraestrutura com temas relacionados a criptomoedas e Web3, a fim de dar um ar de legitimidade à campanha. Esse ataque mostra semelhanças com uma campanha anterior descoberta pela Kandji em agosto, que utilizava uma tática semelhante para infectar dispositivos Apple com um malware chamado TodoSwift.

Especialistas indicam que hackers norte-coreanos, notórios por se adaptar a novas condições e relatórios de cibersegurança, podem ter ajustado sua estratégia em resposta a divulgações públicas. Além disso, campanhas paralelas, como a Wagemole e Contagious Interview, revelam que o objetivo norte-coreano vai além da simples infecção de dispositivos: esses hackers também buscam se infiltrar em empresas ocidentais e coletar dados, especialmente no setor de criptomoedas. Essas táticas, que incluem uso de perfis falsos e ferramentas de recrutamento, representam um desafio crescente para a segurança de empresas e indivíduos.