Pelaku ancaman yang memiliki hubungan dengan Republik Demokratik Rakyat Korea (DPRK alias Korea Utara) ditemukan menyematkan malware dalam aplikasi Flutter, menandai pertama kalinya taktik ini diadopsi oleh musuh untuk menginfeksi perangkat macOS Apple.
Jamf Threat Labs, yang membuat penemuan berdasarkan artefak yang diunggah ke platform VirusTotal awal bulan ini, mengatakan aplikasi yang dibuat oleh Flutter adalah bagian dari aktivitas yang lebih luas yang mencakup malware yang ditulis dalam Golang dan Python.
Saat ini tidak diketahui bagaimana sampel ini didistribusikan kepada korban, dan apakah sampel tersebut telah digunakan untuk menyerang target tertentu, atau apakah penyerang beralih ke metode pengiriman baru. Meskipun demikian, pelaku ancaman di Korea Utara diketahui terlibat dalam upaya rekayasa sosial ekstensif yang menargetkan karyawan bisnis mata uang kripto dan keuangan terdesentralisasi.
“Kami menduga contoh spesifik ini masih dalam tahap pengujian,” Jaron Bradley, direktur Jamf Threat Labs, mengatakan kepada The Hacker News. “Mungkin saja teknik tersebut belum didistribusikan. Sulit untuk mengatakannya. Tapi ya. Teknik rekayasa sosial yang dilakukan penyerang telah bekerja dengan sangat baik di masa lalu dan kami menduga mereka akan terus menggunakan teknik ini.”
Jamf belum mengaitkan aktivitas jahat tersebut dengan kelompok peretas tertentu yang terkait dengan Korea Utara, meskipun Jamf mengatakan kemungkinan besar hal tersebut dilakukan oleh sub-kelompok Lazarus yang dikenal sebagai BlueNoroff. Koneksi ini berasal dari infrastruktur yang tumpang tindih dengan malware yang disebut sebagai KANDYKORN dan kampanye Risiko Tersembunyi yang baru-baru ini disoroti oleh Sentinel One.
Apa yang membuat malware baru ini menonjol adalah penggunaan aplikasi Flutter, kerangka pengembangan aplikasi lintas platform, untuk menyematkan muatan utama yang ditulis dalam Dart, sambil menyamar sebagai game Minesweeper yang berfungsi penuh. Aplikasi tersebut diberi nama “Pembaruan Baru di Crypto Exchange (28-08-2024).”
Terlebih lagi, game ini tampaknya merupakan tiruan dari game Flutter dasar untuk iOS yang tersedia untuk umum di GitHub. Perlu diperhatikan bahwa penggunaan umpan bertema permainan juga telah diamati sehubungan dengan kelompok peretas Korea Utara lainnya yang dilacak sebagai Moonstone Sleet.
Aplikasi ini juga telah ditandatangani dan disahkan menggunakan ID pengembang Apple BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) dan FAIRBANKS CURLING CLUB INC. (6W69GC943U), yang menunjukkan bahwa pelaku ancaman dapat melewati proses notaris Apple. Tanda tangan tersebut telah dicabut oleh Apple.
Setelah diluncurkan, malware mengirimkan permintaan jaringan ke server jarak jauh (“mbupdate.linkpc[.]net”) dan dikonfigurasi untuk mengeksekusi kode AppleScript yang diterima dari server, tetapi tidak sebelum kode tersebut ditulis mundur.
Jamf mengatakan pihaknya juga mengidentifikasi varian malware yang ditulis dengan Go dan Python, yang terakhir dibuat dengan Py2App. Aplikasi – bernama NewEra untuk Stablecoin dan DeFi, CeFi (Protected).app dan Runner.app – dilengkapi dengan kemampuan serupa untuk menjalankan muatan AppleScript apa pun yang diterima dalam respons HTTP server.
Perkembangan terakhir ini merupakan tanda bahwa pelaku ancaman Korea Utara secara aktif mengembangkan malware menggunakan beberapa bahasa pemrograman untuk menyusup ke perusahaan cryptocurrency.
“Malware yang ditemukan dari pelaku selama beberapa tahun terakhir hadir dalam berbagai varian dengan iterasi yang sering diperbarui,” kata Bradley. “Kami mencurigai hal ini sebagai upaya untuk tetap tidak terdeteksi dan menjaga agar malware terlihat berbeda pada setiap rilis. Dalam kasus bahasa Dart, kami menduga hal ini terjadi karena pelakunya menemukan bahwa aplikasi Flutter menjadi sangat tidak dikenal karena arsitektur aplikasinya setelah dikompilasi.”