I ricercatori di Jamf hanno scoperto l’esistenza di un nuovo malware su macOS che sembrano essere collegati agli hacker nordcoreani, noti per i loro attacchi informatici particolarmente audaci per lo più volti a rubare denaro per finanziare gli obiettivi del paese e aggirare le sanzioni economiche.
macOS: nuovo malware dalla Corea in tre varianti
Il malware è stato trovato su VirusTotal, ma stranamente, viene segnalato come “pulito”. È stato distribuito in tre versioni: una scritta in Go, un’altra in Python e la terza utilizzando Flutter, il framework open source di Google, noto per consentire agli sviluppatori di creare app per iOS, Android ecc. tramite un’unica base di codice in Dart.
In questo caso, il malware fingeva di essere un semplice gioco in stile campo minato clonato direttamente da GitHub, con il payload dannoso nascosto in un file dylib. Questo codice nascosto ha tentato di connettersi a un server command-and-control (C2) su mbupdate[.]linkpc[.]net, un dominio con collegamenti a precedenti malware nordcoreani.
Fortunatamente, il server era inattivo quando Jamf lo ha trovato, restituendo solo un errore “404 non trovato”, pertanto l’attacco non è andato completamente a buon fine. Tuttavia, il malware era in grado di aggirare i processi di sicurezza di Apple inizialmente, il che significava che i sistemi di sicurezza macOS ritenevano che fosse sicuro.
Da tenere presente che il malware è stato impostato per eseguire comandi AppleScript inviati dal server ed eseguirli al contrario per evitare il rilevamento. Nei test di Jamf, è stato confermato che il malware poteva eseguire in remoto qualsiasi comando AppleScript inviato dal server C2, il che avrebbe potuto concedere agli hacker il pieno controllo se l’attacco avvenuto in diretta.