Los piratas informáticos norcoreanos utilizan un malware innovador dirigido contra macOS

Los expertos en ciberseguridad han señalado constantemente a los piratas informáticos norcoreanos por sus descaradas intrusiones cibernéticas, destinadas principalmente a robar fondos para apoyar iniciativas estatales y evadir sanciones internacionales. Una investigación reciente realizada por Jamf ha revelado una cepa sofisticada de malware vinculada a estos actores maliciosos. Este malware en particular fue descubierto en VirusTotal, un servicio popular utilizado para escanear archivos en busca de contenido malicioso; curiosamente, el malware fue clasificado inicialmente como «limpio». El software malicioso viene en tres versiones diferentes: una desarrollada en Go, otra en Python y una tercera que utiliza Flutter.

Flutter: un arma de doble filo para desarrolladores y cibercriminales

Flutter, un marco de código abierto creado por Google, permite a los desarrolladores crear aplicaciones para múltiples plataformas (como iOS y Android) a partir de una única base de código Dart. Esta utilidad multiplataforma convierte a Flutter en un recurso valioso para los desarrolladores legítimos, pero también es una opción atractiva para los cibercriminales. La estructura de código inherentemente compleja de Flutter puede ocultar malware, lo que dificulta que los sistemas de seguridad detecten amenazas potenciales.

La amenaza disfrazada: un juego clonado

El malware operaba bajo la apariencia de un juego de buscaminas banal, que había sido clonado de GitHub. Su intención maliciosa estaba oculta dentro de un archivo de biblioteca dinámica (dylib), que tenía como objetivo establecer una conexión con un servidor de comando y control (C2) ubicado en mbupdate.linkpc.net. Este dominio tiene asociaciones previas con malware norcoreano. Afortunadamente, cuando el equipo de Jamf investigó, descubrió que el servidor estaba inactivo y solo devolvía un error «404 Not Found», lo que impidió que el ataque se materializara.

Ejecución engañosa y peligros potenciales

Un aspecto particularmente inteligente de este malware es su capacidad de ejecutar comandos AppleScript que se envían desde el servidor C2, empleando una técnica única de ejecutarlos en sentido inverso para evadir la detección. La experimentación de Jamf confirmó la capacidad del malware de ejecutar de forma remota cualquier comando AppleScript, incluidos aquellos que podrían otorgar a los piratas informáticos un amplio control sobre los sistemas infectados si se hubiera llevado a cabo la ejecución del ataque.

Conclusiones y recomendaciones

Este incidente parece ser una prueba preliminar de los piratas informáticos, lo que indica que están perfeccionando sus técnicas para evadir las medidas de seguridad de Apple. Si bien Flutter en sí no es malicioso, su diseño inherentemente ayuda a ocultar el código dañino, lo que pone de relieve una tendencia preocupante en la que las herramientas de desarrollo legítimas se están reutilizando para objetivos maliciosos. A medida que evolucionan las amenazas de ciberseguridad, sigue siendo imperativo que los usuarios, especialmente aquellos en entornos empresariales, se mantengan alerta y adopten las mejores prácticas de seguridad.

Fuente e imágenes