# GROWTH Backdoor > [!high] Backdoor macOS do BlueNoroff - Campanha Hidden Risk 2024 > GROWTH é um backdoor macOS desenvolvido pelo grupo norte-coreano **BlueNoroff** (subgrupo do [[lazarus-group]]), descoberto pela SentinelLabs em outubro de 2024 como segundo estágio da [[hidden-risk-campaign-2024|campanha Hidden Risk]]. Escrito em C++, o malware usa uma **técnica inédita de persistência via `.zshenv`** que bypassa as notificações de persistência do macOS 13 Ventura. Distribuído via dropper Swift assinado e notarizado pela Apple que se disfarça de PDF sobre criptomoedas. ## Visão Geral O backdoor GROWTH foi identificado pela SentinelLabs em outubro de 2024 como componente central da campanha "Hidden Risk", atribuída ao grupo [[bluenoroff]] - subgrupo do [[lazarus-group]] especializado em ataques financeiros e roubo de criptomoedas. A campanha utilizou emails de phishing com headlines falsas sobre criptomoedas ("Hidden Risk Behind New Surge of Bitcoin Price", "Altcoin Season 2.0-The Hidden Gems to Watch") para distribuir um dropper Swift mascarado como PDF legítimo. O dropper, assinado com Apple Developer ID legítimo e notarizado pela Apple (ID "Avantis Regtech Private Limited"), exibia um PDF de engodo baixado do Google Drive enquanto, em background, fazia download do segundo estágio denominado "growth" de um servidor C2 controlado pelo ator. A capacidade do grupo de adquirir ou sequestrar contas de desenvolvedor Apple legítimas e obter notarização - passando pela verificação de malware da Apple - é uma das características mais preocupantes das operações BlueNoroff. O GROWTH em si é um binário C++ Mach-O de arquitetura x86-64, sem assinatura de código, com 5,1 MB. A técnica de persistência que o torna especialmente relevante é o abuso do arquivo de configuração `.zshenv`: ao invés de usar LaunchAgents (que acionam notificações no macOS 13+), o GROWTH modifica o `.zshenv` do usuário, que é carregado em todas as sessões Zsh incluindo não-interativas. É a primeira vez que essa técnica foi observada em uso in-the-wild por autores de malware. ## Como Funciona **Cadeia de entrega (dois estágios):** 1. Email de phishing com link para app Swift disguisada de PDF 2. A app Swift (dropper de primeiro estágio) exibe PDF legítimo de isca do Google Drive 3. Em background, baixa o binário `growth` do servidor C2 4. Executa o GROWTH como segundo estágio **Persistência via .zshenv:** 1. O GROWTH chama a função `install_char__char_` ao ser executado 2. Modifica o arquivo `~/.zshenv` (arquivo de configuração Zsh carregado em todas as sessões) 3. Cria arquivo marcador oculto em `/tmp/.zsh_init_success` para confirmar setup 4. O malware persiste através de reinicializações sem acionar notificações do macOS **Operação do backdoor:** 1. Coleta informações do sistema: `sw_vers ProductVersion`, `sysctl hw.model`, `sysctl kern.boottime` 2. Executa `ps aux` para listar processos em execução 3. Gera UUID aleatório de 16 caracteres 4. Envia dados de reconhecimento ao C2 via HTTP POST (função `DoPost`) 5. Aguarda resposta do C2 com comandos 6. Salva resposta como arquivo oculto em `/Users/Shared/.XXXXXX` (nome aleatório) 7. Executa arquivo recebido via `popen` com permissões `chmod 0x777` 8. Repete o ciclo após 60 segundos de sleep **Dados coletados de aplicativos (versões avançadas):** - WeChatID, email, telefone do WeChat - Organização, departamento, email corporativo do DingTalk - Credenciais do Google Password Manager (usernames e sites) ## Attack Flow ```mermaid graph TB A["Phishing Email<br/>Crypto news falsa<br/>PDF Bloomberg/Reuters"] --> B["Dropper Swift<br/>Notarizado Apple<br/>Exibe PDF de isca"] B --> C["Download growth<br/>Binario C++ x86-64<br/>de servidor C2"] C --> D["Persistência .zshenv<br/>Bypass notificacoes<br/>macOS 13 Ventura"] D --> E["Reconhecimento<br/>sw_vers, sysctl<br/>ps aux, UUID"] E --> F["C2 via HTTP POST<br/>libcurl com UUID<br/>e dados do host"] F --> G["SaveAndExec<br/>/Users/Shared/.XXXXXX<br/>Comandos recebidos"] G --> H["Roubo de Cripto<br/>WeChat DingTalk<br/>Google Passwords"] ``` **Legenda:** [[bluenoroff]] · [[lazarus-group]] · [[hidden-risk-campaign-2024]] · [[t1547-004-rc-scripts|T1547.004]] · [[t1071-001-web-protocols|T1071.001]] ## Timeline ```mermaid timeline title GROWTH Backdoor / Hidden Risk - Linha do Tempo 2023 : RustBucket e KandyKorn : Campanhas BlueNoroff macOS : Evolução das técnicas 2024-07 : Hidden Risk inicia : Emails de phishing cripto : PDFs falsos como isca 2024-08 : ToDoSwift identificado : Variante relacionada : Kandji alerta sobre campanha 2024-10 : Notarization revogada : Apple revoga ID comprometido : SentinelLabs analisa GROWTH 2024-11 : SentinelLabs publica : Técnica .zshenv documentada : Primeira vez in-the-wild 2025 : BlueNoroff continua : Novas contas Apple obtidas : Campanhas continuam ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails phishing com app Swift disfarçada de PDF cripto | | RC Scripts (.zshenv) | [[t1547-004-rc-scripts\|T1547.004]] | Persistência via .zshenv para bypass de notificações macOS | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP POST usando libcurl, polling de 60 segundos | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | sw_vers, sysctl, ps aux para fingerprinting do host | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2\|T1041]] | Dados de reconhecimento e credenciais enviados ao C2 | | Unix Shell | [[t1059-004-unix-shell\|T1059.004]] | Execução de comandos recebidos do C2 via popen | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Strings ofuscadas no binário growth | ## Relevância para o Brasil e LATAM > [!latam] Setor Cripto e Executivos macOS no Brasil como Alvos > O Brasil tem o maior mercado de criptomoedas da América Latina. Executivos e traders brasileiros em empresas **financeiras** que usam **macOS** são o perfil exato visado pelo BlueNoroff. A percepção de segurança do macOS reduz a vigilância, e a técnica de **notarização Apple** bypassada pelo grupo torna as defesas tradicionais insuficientes. O BlueNoroff e a campanha Hidden Risk têm relevância direta para o mercado cripto brasileiro e LATAM: **Mercado cripto LATAM como alvo:** - O Brasil tem o maior mercado de criptomoedas da América Latina, com milhões de usuários ativos em corretoras como Mercado Bitcoin, Foxbit e Binance Brasil - O foco do GROWTH em roubo de credenciais do WeChat e DingTalk indica possível expansão para outros aplicativos financeiros móveis populares no Brasil - Investidores individuais e empresas cripto brasileiras são alvos do perfil exato visado pelo BlueNoroff **macOS no setor financeiro brasileiro:** - Executivos, analistas e traders em empresas [[financial|financeiras]] brasileiras frequentemente usam macOS, criando superfície de ataque para ataques como o GROWTH - A percepção de que macOS é seguro reduz vigilância dos usuários ao receber links de "notícias cripto" **Evasão de tecnologias de segurança:** - A técnica de notarização pela Apple bypassa controles de segurança tradicionais que confiam em apps notarizados - A persistência via `.zshenv` não aciona alertas em macOS 13+ - plataformas MDM brasileiras precisam de regras customizadas para detectar ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - GROWTH Backdoor (TLP:GREEN) > **Artefatos no host (macOS):** > Arquivo `/tmp/.zsh_init_success` (marcador de infecção) > Modificação suspeita em ~/.zshenv por processo não-terminal > Arquivos ocultos em /Users/Shared/.XXXXXX (6 chars aleatórios) > > **Rede:** > HTTP POST para domínio de criptomoedas/fintech via libcurl > User-Agent libcurl/7.x consistente em requisições POST periódicas > Domínios históricos: matuaner[.]com (C2 identificado pela SentinelLabs) > > **Dropper:** > App Swift com bundle ID Education.LessonOne > App assinada com Developer ID "Avantis Regtech Private Limited (2S8XHJ7948)" > > **Fonte:** SentinelLabs - Hidden Risk Campaign (2024) · BleepingComputer **Mitigações recomendadas:** - Usar [[m1049-antivirus|M1049]] com suporte macOS e monitoramento de modificações em dotfiles do shell - Monitorar `/tmp/.zsh_init_success` e modificações em `~/.zshenv` via [[ds0022-file|DS0022]] - Verificar notarizações de apps via `spctl --assess --verbose` antes de execução - Implementar [[m1017-user-training|M1017]] para usuários de macOS em empresas cripto: links de PDFs em emails não devem ser abertos como apps - Usar Endpoint Detection de macOS (CrowdStrike Falcon, SentinelOne) com regras para .zshenv modification ## Referências - [1](https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence/) SentinelLabs - BlueNoroff Hidden Risk: Novel macOS Persistence (2024) - [2](https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-against-crypto-firms/) BleepingComputer - North Korean Hackers Use GROWTH macOS Malware (2024) - [3](https://www.sentinelone.com/blog/2024-macos-malware-review-infostealers-backdoors-and-apt-campaigns-targeting-the-enterprise/) SentinelOne - 2024 macOS Malware Review (2025) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/osx.growth) Malpedia - GROWTH Entry - [5](https://securityaffairs.com/170659/malware/bluenoroff-apt-macos-malware.html) Security Affairs - BlueNoroff Hidden Risk macOS Analysis (2024) - [6](https://attack.mitre.org/groups/G0064/) MITRE ATT&CK - Lazarus Group / BlueNoroff (G0064)