# Hidden Risk Campaign 2024 - BlueNoroff macOS > [!high] BlueNoroff usa técnica inédita de persistência no macOS para atacar setor de criptomoedas > Entre julho e outubro de 2024, o grupo BlueNoroff (subgrupo financeiro do Lazarus) conduziu uma campanha focada em profissionais do setor de criptomoedas via e-mails de phishing disfarçados como pesquisas sobre Bitcoin. O ataque introduziu uma técnica nova de persistência no macOS via modificação do arquivo `.zshenv`, que não gera alertas de segurança do sistema - tornando-o invisível para usuários e para ferramentas básicas de detecção. ## Visão Geral A campanha Hidden Risk representa a evolução mais recente das capacidades de ataque macOS do [[g0124-bluenoroff|BlueNoroff]], subgrupo do [[g0032-lazarus-group|Lazarus Group]] responsável por operações de roubo financeiro, especialmente contra o setor de criptomoedas. Documentada pela SentinelOne em outubro de 2024, a campanha se destacou por dois aspectos técnicos inovadores: o uso de um documento PDF legítimo como isca inicial (que realmente abria e exibia conteúdo real sobre Bitcoin) e uma técnica de persistência via arquivo **`.zshenv`** que nunca havia sido observada em malware macOS anteriormente. O vetor de ataque começava com e-mails de phishing altamente direcionados enviados a profissionais do setor cripto - analistas, traders e executivos - com o assunto "Hidden Risk Behind New Surge of Bitcoin Price". O e-mail continha um link para download de um arquivo PDF aparentemente legítimo. Ao abrir, o arquivo executava um dropper Swift (linguagem de desenvolvimento Apple) que instalava um backdoor denominado **"growth"** (um Mach-O binário com capacidades de reconhecimento e exfiltração de dados). A inovação crítica foi a persistência: em vez dos métodos tradicionais de persistência no macOS (LaunchAgents, LaunchDaemons, Login Items), o BlueNoroff modificou o arquivo `.zshenv` do usuário para executar automaticamente o backdoor sempre que um novo shell zsh fosse iniciado. Esta técnica não aciona as notificações de "Login Items" introduzidas no macOS Ventura e Sonoma, tornando a persistência completamente silenciosa para o usuário. A campanha se concentrou em alvos nos EUA e utilizou domínios de command and control registrados recentemente com nomes que imitavam organizações legítimas de notícias de finanças. A SentinelOne atribuiu a campanha ao BlueNoroff com alta confiança com base em sobreposições de infraestrutura e TTPs com campanhas anteriores do grupo. ## Attack Flow ```mermaid graph TB A["Spear-phishing cripto<br/>E-mail sobre Bitcoin price surge<br/>link para PDF aparentemente legítimo"] --> B["PDF como isca<br/>Conteúdo real exibido<br/>dropper Swift executado em background"] B --> C["Verificações de ambiente<br/>Detecta sandbox e software<br/>de segurança - aborta se presente"] C --> D["Download do backdoor<br/>Mach-O growth binário<br/>de servidor C2 remoto"] D --> E["Persistência via .zshenv<br/>Técnica inédita - sem alertas<br/>do macOS Security Framework"] E --> F["Backdoor growth ativo<br/>Reconhecimento do sistema<br/>Exfiltração de dados cripto"] F --> G["Operação contínua<br/>Monitoramento de wallets<br/>Credenciais de exchanges"] ``` ## Cronologia | Data | Evento | |------|--------| | 2024-07 | Primeiras amostras da campanha detectadas (data estimada) | | 2024-10 | SentinelOne pública análise completa da campanha Hidden Risk | | 2024-10 | CISA e parceiros confirmam atribuição ao BlueNoroff/Lazarus | | 2024-10 | Apple emite atualizações de detecção para o backdoor growth | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | E-mail com link para PDF malicioso disfarçado de pesquisa cripto | | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | PDF dropper que executa código Swift no background ao ser aberto | | Launch Daemon / Zshenv | [[t1543-004-launch-daemon\|T1543.004]] | Persistência via modificação de .zshenv - técnica inédita no macOS | | AppleScript | [[t1059-002-applescript\|T1059.002]] | Scripts de reconhecimento e coleta de dados no macOS | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canais HTTPS criptografados | ## Impacto **Alvos e objetivos:** - Profissionais do setor de criptomoedas (traders, analistas, executivos de exchanges) - Foco em roubo de credenciais de carteiras de criptmoeda e acesso a exchanges - Alvos primários nos EUA; campanha global com menor intensidade **Inovação técnica:** - Primeira campanha documentada usando .zshenv para persistência silenciosa no macOS - Técnica contorna todas as proteções de notificação do macOS Ventura e Sonoma - Dropper Swift nativo para macOS demonstra investimento crescente do Lazarus em capacidades Apple ## Relevância LATAM e Brasil O impacto direto no Brasil foi limitado, dado o foco do BlueNoroff em mercados cripto anglófonos. No entanto: - Exchanges e traders de criptomoedas brasileiros que interagem com redes internacionais são potenciais alvos de campanhas de spear-phishing similares do [[g0124-bluenoroff|BlueNoroff]] - O Brasil possui o maior mercado de criptomoedas da América Latina - tornando-o alvo crescente de operações do Lazarus voltadas a roubo de criptoativos - Profissionais brasileiros de [[financial|finanças digitais]] que utilizam macOS como plataforma de trabalho devem monitorar a técnica .zshenv ## Mitigação **Controles técnicos macOS:** - Auditar conteúdo dos arquivos `.zshenv` e `.zshrc` regularmente em sistemas macOS - Monitorar criação e modificação de arquivos de configuração de shell (`.zshenv`, `.bashrc`) - Implementar EDR com cobertura para macOS capaz de detectar modificações em dotfiles de shell **Controles estratégicos:** - Aplicar [[m1049-antivirus-antimalware|M1049]] - soluções EDR com cobertura macOS nativa - Implementar [[m1017-user-training|M1017]] - treinamento específico para profissionais cripto sobre spear-phishing - Monitorar via [[ds-0022-file-access|DS-0022]] - acesso e modificação de arquivos de configuração de shell ## Referências - [1](https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-new-malware-family/) SentinelOne - BlueNoroff Hidden Risk: Targets Macs with New Malware (2024) - [2](https://www.mandiant.com/resources/blog/bluenoroff-crypto-macos) Mandiant - BlueNoroff macOS Crypto Campaign (2024) - [3](https://unit42.paloaltonetworks.com/bluenoroff-macos-attacks/) Unit 42 - BlueNoroff macOS Attacks (2024) - [4](https://thehackernews.com/2024/10/bluenoroff-macos-malware-new-persistence.html) The Hacker News - BlueNoroff macOS Malware New Persistence Technique (2024)