Recientes hallazgos de Jamf Threat Labs han revelado una serie de aplicaciones maliciosas creadas por hackers norcoreanos, destinadas a atacar los sistemas macOS de Apple. Estas aplicaciones, que incluyen versiones troyanizadas de un Bloc de notas y juegos como Buscaminas, fueron desarrolladas utilizando el framework Flutter y firmadas con un ID de desarrollador legítimo de Apple, logrando así pasar los controles de seguridad de macOS y ejecutarse sin restricciones.
Cómo operan estas aplicaciones maliciosas
Las aplicaciones se centran en temas relacionados con criptomonedas, un ámbito de particular interés para los hackers norcoreanos debido a su enfoque en el robo financiero. Los investigadores sugieren que esta campaña es más un experimento para eludir la seguridad de macOS que un ataque sofisticado y dirigido.
Desde noviembre de 2024, Jamf descubrió varias aplicaciones subidas a VirusTotal que, aunque parecían inofensivas a simple vista y pasaron los análisis antivirus, presentaban funcionalidades sospechosas. Estas aplicaciones conectaban a servidores de Corea del Norte, indicando una actividad maliciosa encubierta.
Uso innovador de Flutter para evadir detección
El uso de Flutter, un framework desarrollado por Google que permite la creación de aplicaciones nativas para múltiples sistemas operativos a partir de un solo código base en Dart, les proporciona a los atacantes varias ventajas. En este caso, el malware estaba ofuscado dentro de una biblioteca dinámica (dylib) que el motor Flutter carga durante la ejecución. Esto complica su detección, ya que el código malicioso se oculta eficazmente.
Una de las aplicaciones analizadas, denominada ‘Nuevas actualizaciones en Crypto Exchange (2024-08-28).app’, incluía código ofuscado que permitía la ejecución de AppleScript, permitiendo a los atacantes ejecutar scripts maliciosos desde un servidor de comando y control (C2). Al abrirse, esta app aparentemente inofensiva mostraba un simple juego de Buscaminas, cuyo código fuente está disponible públicamente en GitHub.
Variantes en otros lenguajes y respuestas de Apple
Además de las aplicaciones desarrolladas con Flutter, Jamf identificó variantes escritas en Golang y Python, con nombres como ‘New Era for Stablecoins and DeFi, CeFi (Protected).app’ y ‘Runner.app’, esta última presentada como una aplicación básica de Bloc de notas. Ambas se conectaban a un dominio asociado con Corea del Norte, ‘mbupdate.linkpc[.]net’, y también permitían la ejecución de scripts maliciosos.
Tras la alerta de Jamf, Apple tomó medidas revocando las firmas digitales de las aplicaciones detectadas, lo que impide que puedan eludir las protecciones de Gatekeeper en sistemas macOS actualizados.
¿Prueba o ataque real?
Aunque aún no está claro si estas aplicaciones se usaron en ataques reales o si eran meramente pruebas para evaluar técnicas de evasión, la existencia de múltiples variantes similares sugiere que los actores detrás de esta operación están experimentando con formas de burlar la seguridad de Apple.
Conclusión: Esta campaña destaca la creciente sofisticación de los hackers norcoreanos, quienes están empleando nuevas herramientas y enfoques para evadir las defensas avanzadas de sistemas macOS. La comunidad de ciberseguridad deberá seguir atenta a este tipo de amenazas emergentes, ya que los actores de amenazas continúan evolucionando sus tácticas para evadir los controles de seguridad de las plataformas más seguras.