ObjCShellz — инструмент Северной Кореи для удаленного доступа к MacOS

Компания Jamf, специализирующаяся на безопасности продуктов Apple, выявила новый вид вредоносного ПО, разработанного киберпреступной группой BlueNorOff (APT38) из Северной Кореи. Группировка известна своими атаками на банки, криптовалютные биржи и венчурный бизнес.

Вредоносное ПО, созданное на основе Objective-C, функционирует как простой удаленный шелл (Remote shell), что позволяет злоумышленникам отправлять команды на зараженные устройства MacOS и выполнять их, обеспечивая удаленное управление системой. До недавнего времени вредонос успешно избегал обнаружения существующими антивирусными решениями.

Открытие было сделано после обнаружения подозрительной активности между исполняемым файлом и вредоносным доменом, который визуально имитировал законный криптовалютный обменник swissborg.com. Такая тактика соответствует известному методу BlueNorOff по использованию фишинговых доменов для маскировки своих операций.

Jamf Threat Labs присвоили обнаруженному вредоносному ПО название ObjCShellz и отнесли его к кампании RustBucket . Несмотря на его внешнее отличие от вредоносных программ, использовавшихся в прошлом, цели хакеров остаются неизменными: они стремятся к получению удаленного доступа к целевым системам для их контроля и проведения мошеннических операций.