Gli esperti di SentinelLabs hanno individuato una nuova campagna, denominata Hidden Risk, che prende di mira aziende attive nel settore delle criptovalute. Gli attacchi sono effettuati dal gruppo nordcoreano BlueNoroff utilizzando un malware multi-stadio per macOS. L’obiettivo è installare una backdoor e rubare informazioni sensibili.
Phishing e backdoor
La catena di infezione inizia con l’invio di un’email di phishing. All’interno del messaggio c’è un link per il download di un file PDF con notizie sui Bitcoin ETF. Il contenuto è simile a quello dell’Università del Texas e pubblicato dall’International Journal of Science and Research Archive (IJSRA).
Cliccando sul link viene però scaricato anche il primo stadio del malware, ovvero un dropper che era stato firmato con un Apple Developer ID valido (successivamente revocato). Mentre l’ignara vittima vede il documento PDF sullo schermo, in background viene scaricato il secondo stadio, ovvero una backdoor.
Tramite varie tecniche, il malware riesce ad aggirare le protezioni di macOS. Dopo aver stabilito la persistenza (esecuzione al riavvio del Mac), la backdoor contatta (ogni 60 secondi) il server C2 (command and control), dal quale riceve i comandi, tra cui il download di altri payload, l’esecuzione di shell e la modifica o esfiltrazione di file.
Secondo gli esperti di SentinelLabs, la campagna Hidden Risk è in corso da almeno 12 mesi. I cybercriminali nordcoreani riescono ad ottenere account sviluppatori e aggirare la funzionalità Gatekeeper di macOS. Gli utenti devono quindi prestare molta attenzione alle email ricevute e utilizzare soluzioni di sicurezza efficaci.
Ti potrebbe interessare
8 nov 2024