# HiddenRisk Dropper > [!high] Dropper Swift Notarizado - Primeiro Estágio da Campanha Hidden Risk > HiddenRisk Dropper é um aplicativo macOS de primeiro estágio desenvolvido em **Swift**, assinado e **notarizado pela Apple** com conta de desenvolvedor legítima sequestrada ("Avantis Regtech Private Limited"), utilizado pelo grupo norte-coreano [[bluenoroff]] na [[hidden-risk-campaign-2024|campanha Hidden Risk]] (julho-outubro 2024). Mascarado como PDF de notícias de criptomoedas, o dropper exibe um PDF de isca legítimo enquanto baixa e executa silenciosamente o backdoor [[growth-backdoor|GROWTH]]. ## Visão Geral O HiddenRisk Dropper é o componente de primeiro estágio da campanha Hidden Risk atribuída ao [[bluenoroff]], subgrupo do [[lazarus-group]] especializado em ataques a empresas de criptomoedas e instituições [[financial|financeiras]]. O dropper representa uma técnica sofisticada de entrega: ao contrário de executáveis maliciosos óbvios, o HiddenRisk Dropper é um aplicativo macOS compilado em Swift com arquitetura universal (arm64 e x86-64), capaz de executar em Macs com chip Intel ou Apple Silicon. A característica mais notável é que o dropper foi **assinado com um Apple Developer ID legítimo** ("Avantis Regtech Private Limited", ID 2S8XHJ7948) e **notarizado pela Apple** - passando pelos processos de verificação de segurança da Apple antes de ser usado maliciosamente. A assinatura foi revogada pela Apple após divulgação da SentinelLabs em outubro de 2024, mas demonstra a capacidade consistente do BlueNoroff de adquirir ou comprometer contas de desenvolvedor Apple válidas para seus ataques macOS. A técnica de entrega é baseada em engano de dois tempos: a vítima recebe email de phishing com tema cripto convincente ("Hidden Risk Behind New Surge of Bitcoin Price"), clica em link que baixa um app Swift mascarado como PDF. Ao executar, o dropper exibe um PDF legítimo (baixado do Google Drive) para satisfazer a expectativa do usuário, enquanto em background inicia o download e execução do backdoor GROWTH do servidor C2. ## Como Funciona **Engenharia social (email phishing):** 1. Email recebido aparentemente de pessoa real, encaminhando "análise de mercado cripto" 2. Link no email aponta para domínio controlado pelo atacante (ex: `delphidigital[.]org`) 3. Download de arquivo `.app` Swift disfarçado com nome de PDF: "Hidden Risk Behind New Surge of Bitcoin Price.app" 4. macOS executa o app como aplicativo nativo (notarização bypassa Gatekeeper) **Execução do dropper:** 1. Bundle identifier: `Education.LessonOne`, executável interno: `LessonOne` 2. Exibe PDF legítimo de isca baixado do Google Drive (copia genuína de pesquisa sobre Bitcoin ETFs) 3. Em background: faz download do segundo estágio (binário `growth`) do servidor C2 (`matuaner[.]com` histórico) 4. Executa o binário `growth` como processo em background 5. Encerra - o [[growth-backdoor|GROWTH]] instala sua própria persistência via .zshenv **Capacidades técnicas:** - Swift universal binary (arm64 + x86-64) - Assinado e notarizado (Apple Developer ID) - Google Drive como hospedagem do PDF de isca (CDN confiável, dificulta bloqueio) - Servidor C2 para download do payload em domínios de tema cripto/fintech ## Attack Flow ```mermaid graph TB A["Phishing Email<br/>Crypto news tema<br/>Pessoa real impersonada"] --> B["Link download<br/>delphidigital.org<br/>ou similar"] B --> C["App Swift<br/>Notarizado Apple<br/>Disguisado como PDF"] C --> D["PDF isca exibido<br/>Google Drive<br/>Bitcoin ETF research"] D --> E["Download background<br/>Binario growth<br/>de servidor C2"] E --> F["GROWTH executado<br/>Segundo estagio<br/>backdoor ativado"] F --> G["zshenv persistência<br/>Bypass notificacoes<br/>macOS 13 Ventura"] ``` **Legenda:** [[bluenoroff]] · [[growth-backdoor]] · [[hidden-risk-campaign-2024]] · [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1553-004-install-root-certificate|T1553.004]] ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com link para app Swift mascarada como PDF | | Malicious File (User Execution) | [[t1204-002-malicious-file\|T1204.002]] | Usuário executa app Swift acreditando ser PDF | | Install Root Certificate | [[t1553-004-install-root-certificate\|T1553.004]] | Notarização Apple usada para bypass de Gatekeeper | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download do backdoor GROWTH do servidor C2 | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Bundle mascarado como documento, nome enganoso | ## Relevância para o Brasil e LATAM Ver [[growth-backdoor]] para análise completa de relevância para o Brasil. O dropper em si é relevante por demonstrar que: - Apps macOS notarizados pela Apple não podem ser considerados seguros sem análise adicional de comportamento - O [[financial|setor financeiro]] e empresas de criptomoedas brasileiras que usam macOS precisam de controles além do Gatekeeper - Emails de phishing com tema de "análise de mercado cripto" são vetores ativos para ataques DPRK no Brasil ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - HiddenRisk Dropper (TLP:GREEN) > **Artefatos:** > App com bundle ID Education.LessonOne > Executável interno "LessonOne" em app com nome de PDF > Developer ID "Avantis Regtech Private Limited (2S8XHJ7948)" - REVOGADO > > **Rede:** > Conexão para delphidigital[.]org (dropper histórico) > Conexão para matuaner[.]com (C2 do GROWTH) > Download de PDF do Google Drive por processo que não é browser > > **Fonte:** SentinelLabs - Hidden Risk Campaign (2024) · Objective-See **Mitigações:** - Verificar assinaturas de apps antes de execução: `spctl --assess --verbose app.app` - Monitorar apps que fazem download de executáveis em segundo plano via [[ds0022-file|DS0022]] - Implementar [[m1017-user-training|M1017]]: arquivos de análise de mercado cripto recebidos por email nunca devem ser abertos como apps ## Referências - [1](https://www.sentinelone.com/labs/bluenoroff-hidden-risk-threat-actor-targets-macs-with-fake-crypto-news-and-novel-persistence/) SentinelLabs - BlueNoroff Hidden Risk Analysis (2024) - [2](https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-against-crypto-firms/) BleepingComputer - North Korean GROWTH macOS Malware (2024) - [3](https://malpedia.caad.fkie.fraunhofer.de/actor/bluenoroff) Malpedia - BlueNoroff Actor Entry - [4](https://objective-see.org/blog/blog_0x78.html) Objective-See - macOS malware 2024 analysis reference