Maak een account op Bitvavo en krijg €10 cadeau! Stort €10 en ontvang €10 extra
Bitvavo: Stort €10
en krijg €10 gratis
Beveiligingsonderzoekers hebben een alarmerende ontdekking gedaan: een opkomende malwarevariant die naar verluidt in verband wordt gebracht met de beruchte ‘BlueNoroff Advanced Persistent Threat’ (APT)-groep.
De BlueNoroff APT-groep staat bekend om haar financieel gemotiveerde campagnes, die zich veelvuldig richten op cryptocurrency-exchanges, durfkapitaalbedrijven en banken. Onlangs bracht Jamf Threat Labs in een vandaag gepubliceerd advies aan het licht dat tijdens een routinematige jacht op bedreigingen een Mach-O universeel binair bestand werd ontdekt, dat communicatie onderhield met een eerder geïdentificeerd kwaadaardig domein.
Het op zichzelf staande binaire bestand, genaamd “ProcessRequest,” heeft de aandacht getrokken vanwege zijn interactie met het eerder verdachte domein. Wat de zorgen verder aanwakkert, is het feit dat een legitieme cryptocurrency-uitwisseling onder een vergelijkbaar domein opereert.
Volgens de bevindingen van onderzoeker Ferdous Saljooki van Jamf, vertoont deze activiteit sterke overeenkomsten met de Rustbucket-campagne van BlueNoroff. In deze campagne neemt de APT-groep vaak de identiteit aan van een investeerder of headhunter, als onderdeel van hun strategie om toegang te krijgen tot hun doelwitten.
Het kwaadaardige domein, dat in mei 2023 werd geregistreerd en later gekoppeld werd aan een specifiek IP-adres, heeft een reeks verontrustende ontwikkelingen doorgemaakt. Ondanks het gebruik van verschillende URL’s voor de communicatie van malware, staakte de command-and-control (C2)-server zijn respons en werd uiteindelijk offline gehaald na grondige analyse.
In een technisch verslag legde Saljooki uit dat de malware, die de naam ‘ObjCSellz’ draagt, is geschreven in Objective-C en functioneert als een eenvoudige externe shell. Deze shell voert opdrachten uit die vanaf de aanvallende server worden verzonden. Hoewel de oorspronkelijke methode voor toegang nog onduidelijk blijft, lijkt deze in latere fasen te worden benut om handmatig opdrachten uit te voeren nadat een systeem is gecompromitteerd. ObjCSellz onderhoudt communicatie met de C2-server via POST-berichten naar een specifieke URL, waarbij het tevens informatie verzamelt over het geïnfecteerde macOS-systeem en een user-agent genereert voor de communicatie.
De capaciteit van deze malware om opdrachten op afstand uit te voeren, is opmerkelijk en stelt de aanvaller in staat om gecompromitteerde systemen op afstand te beheersen.
Ferdous Saljooki, onderzoeker bij Jamf, merkte op: ‘Ondanks zijn ogenschijnlijke eenvoud, blijft deze malware zeer functioneel en biedt hij aanvallers de middelen om hun doelstellingen te verwezenlijken. Dit lijkt een patroon te zijn in de recentste malware die we van deze APT-groep hebben waargenomen.’
Gebaseerd op eerdere aanvallen die zijn uitgevoerd door BlueNoroff, wordt vermoed dat deze malware zich in een laat stadium van een meerfasige aanval bevond, mogelijk geïntroduceerd via social engineering.
Een nieuwe golf phishingmails bedreigt momenteel gebruikers van de populaire Ledger-hardware wallets.
Bitvavo Twitter-account gehackt: Valse post over ‘BVAVO-token’. Klik niet op de link. Bitvavo werkt aan herstel van het account.
Voormalige advocaat veroordeeld voor crypto Ponzi-scheme: 86-jarige Kagel moet bijna $14 miljoen terugbetalen na fraude met cryptohandelsprogramma.