Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
StartseiteAlle ArtikelÜber unsKontaktieren Sie uns

Eine neue MacOS-Malware, die mit nordkoreanischen Hackern in Verbindung gebracht wird, zielt auf die Krypto-Industrie ab.

Technologie
By
Felix Schmidt
January 31, 2025

Eine neue MacOS-Malware namens „Hidden Risk“ sorgt für Besorgnis im Kryptowährungssektor. Laut Sicherheitsforschern von SentinelOne wird die Malware über Phishing-E-Mails verbreitet, die gefälschte Nachrichten und Schlagzeilen zu Kryptowährungstrends enthalten, um Nutzer zum Herunterladen zu verleiten. Die Hackergruppe BlueNoroff, die für Angriffe auf Kryptowährungsunternehmen bekannt ist und Verbindungen nach Nordkorea hat, wird mit dieser Bedrohung in Verbindung gebracht. „Hidden Risk“ schafft durch Backdoor-Zugriffe eine Angriffsfläche für Remote-Befehle und kann so massive Sicherheitsrisiken für die betroffenen Macs darstellen.

Malware „Hidden Risk“ nutzt Phishing-Taktiken, um Macs zu kompromittieren

Sicherheitsforscher von SentinelOne haben eine neue MacOS-Malware namens „Hidden Risk“ identifiziert, die mit der nordkoreanischen Hackergruppe BlueNoroff in Verbindung gebracht wird, die dafür bekannt ist, Kryptowährungsunternehmen ins Visier zu nehmen. Die Malware wird über Phishing-E-Mails verbreitet, die gefälschte Schlagzeilen und Artikel über Kryptowährungstrends enthalten, um die Empfänger zum Herunterladen der Malware zu verleiten.

Phishing-Taktiken: Verlockende Schlagzeilen und gefälschte PDF-Links

Die Phishing-E-Mails enthalten Themen wie „Hidden Risk Behind New Surge of Bitcoin Price“ und „Altcoin Season 2.0-The Hidden Gems to Watch“. Diese Nachrichten sollen Nutzer dazu verleiten, auf einen als PDF-Dokument getarnten Link zu klicken. Sobald der Link angeklickt wird, wird ein als legitime Anwendung getarntes Programm mit dem Namen „Hidden Risk Behind New Surge of Bitcoin Price.app“ heruntergeladen.

Funktionsweise der Malware: „Hidden Risk“ und der Backdoor-Zugriff

Die nur 698 KB große Malware-Datei konnte sich am 19. Oktober eine Apple-Authentifizierung verschaffen und so Sicherheitseinschränkungen umgehen. Die Forscher vermuten, dass die Angreifer ein legitimes Apple-Entwicklerkonto, wahrscheinlich von einer Drittfirma in Indien, gehackt haben. Sobald die Anwendung gestartet wird, lädt sie eine PDF-Datei herunter und ruft eine sekundäre bösartige Nutzlast ab, die einen Backdoor-Zugang zum Mac des Benutzers einrichten kann.

Diese Hintertür ermöglicht Remote-Befehle vom Server des Angreifers, wodurch weitere Nutzlasten installiert werden können. Die sekundäre Nutzlast wurde speziell für Intel-basierte Macs entwickelt, kann aber über Rosetta auch auf Apple-Silizium ausgeführt werden.

BlueNoroff und die Bedrohung für den Kryptowährungssektor

Die Hacking-Kampagne scheint bereits im Juli begonnen zu haben. SentinelOne entdeckte im Oktober Phishing-E-Mails, die auf diese Malware-Kampagne hinwiesen. Die Forscher ordnen die Kampagne der nordkoreanischen Gruppe BlueNoroff zu, da Domainnamen, IP-Adressen und Taktiken mit früheren Angriffen der Gruppe übereinstimmen. BlueNoroffs Fokus auf Kryptowährungsunternehmen und seine Verbindung zu früheren Cyberangriffen unterstreichen die anhaltenden Risiken für den Kryptowährungssektor durch hochentwickelte, staatlich geförderte Hackerangriffe.