Aziende di criptovalute sotto attacco, BlueNoroff colpisce ancora

Nov 12, 2024 Valentina Caruso Attacchi, News 0

---

Le aziende di criptovalute sono prese di mira da una campagna malware in grado di infettare i dispositivi macOS. Gli autori di questa minaccia sembrano essere legati alla Repubblica Popolare Democratica di Corea (DPRK). Secondo gli specialisti in cybersicurezza di SentinelOne, infatti, si tratterebbe di BlueNoroff. Un gruppo nordcoreano specializzato in phishing che prima del 2020 ha portato a termine un furto del valore di 3 miliardi di dollari in fondi. Negli anni, BlueNoroff è stato collegato alla diffusione di alcune famiglie di malware tra cui figurano TodoSwift, RustDoor e ObjCShellz.

La campagna Hidden Risk

L’attuale campagna sembra essere iniziata a luglio 2024 ed è stata soprannominata Hidden Risk. Il malware si nasconde in un’applicazione dannosa che si spaccia per un file pdf e opera sfruttando attacchi multi-fase.

Tutto parte da una mail che ha come oggetto proprio le criptovalute e adesca le sue vittime grazie a titoli sensazionalistici. L’esca, spesso, è rappresentata da false opportunità di investimento o di lavoro nel mondo crypto.

Alta ingegneria sociale

L’FBI ha sottolineato, in una comunicazione che risale allo scorso settembre, come questi attacchi siano difficili da rilevare e ben congegnati. Si rivolgono a dipendenti che lavorano nel settore delle criptovalute e della finanza o ad appassionati del tema. E sono altamente personalizzati.

Tra gli aspetti più pericolosi c’è quello del coinvolgimento di lunga durata: i cybercriminali inviano mail non sospette per lungo tempo, conquistando la fiducia dei malcapitati, e solo alla fine distribuiscono il malware.

Le osservazioni di SentinelOne

In particolare, il singolo attacco Hidden Risk osservato analizzato da SentinelOne risale alla fine di ottobre 2024. L’applicazione malevola ha scaricato un file PDF esca recuperato da Google Drive ma allo stesso tempo ha anche recuperato un file eseguibile da un server remoto, aprendo una backdoor.

L’applicazione era scritta nel linguaggio di programmazione Swift, firmata e autenticata da una ID sviluppatore Apple. Tra le attività criminali di BlueNoroff c’è, infatti, anche quella del dirottamento di account sviluppatori validi. Vengono usati per diffondere in modo più efficace il malware. 

La backdoor si distingue poi per la presenza di un nuovo meccanismo di persistenza pensato per sopravvivere ai reboot. Il meccanismo sfrutta il file di configurazione zshenv. Gli APT (Advanced Persistent Threat) riescono a mantenere l’accesso non autorizzato ai sistemi, senza essere rintracciati, anche per lungo tempo, continuando a spiare le vittime e rubare dati.

La notifica di Apple non si attiva

Il meccanismo degli attacchi Hidden Risk alle aziende di criptovalute è in parte simile a quello che era stato usato da questo o da altri gruppi hacker per distribuire TodoSwift. Il sistema è particolarmente astuto perché Apple ha introdotto, a partire macOS Ventura, delle notifiche di minaccia. Gli utenti, cioè, vengono avvisati quando vengono installati nel sistema metodi persistenti e applicazioni sospette. L’abuso di zshenv però non allerta il sistema macOS e non comporta nessuna notifica.

Meno sofisticato ma comunque efficace

Negli ultimi 12 mesi, i criminali informatici nordcoreani stanno sferrando attacchi contro una serie di aziende legate al mondo delle criptovalute sfruttando approcci anche molto complessi che hanno previsto, ad esempio, di avvicinarsi gradualmente alle vittime usando i social network.

Hidden Risk da questo punto di vista è una campagna meno sofisticata perché sfrutta in modo più tradizionale una serie di email. Non per questo, però, si dimostra meno efficace.

Il furto di codici privati e informazioni relative ai portafogli digitali è una minaccia molto seria che coinvolge non solo le singole aziende del settore ma potenzialmente l’intero ecosistema delle criptovalute.

---

---

---