Aggiornamenti recenti Dicembre 23rd, 2024 4:09 PM
Nov 12, 2024 Valentina Caruso Attacchi, News 0
Le aziende di criptovalute sono prese di mira da una campagna malware in grado di infettare i dispositivi macOS. Gli autori di questa minaccia sembrano essere legati alla Repubblica Popolare Democratica di Corea (DPRK). Secondo gli specialisti in cybersicurezza di SentinelOne, infatti, si tratterebbe di BlueNoroff. Un gruppo nordcoreano specializzato in phishing che prima del 2020 ha portato a termine un furto del valore di 3 miliardi di dollari in fondi. Negli anni, BlueNoroff è stato collegato alla diffusione di alcune famiglie di malware tra cui figurano TodoSwift, RustDoor e ObjCShellz.
L’attuale campagna sembra essere iniziata a luglio 2024 ed è stata soprannominata Hidden Risk. Il malware si nasconde in un’applicazione dannosa che si spaccia per un file pdf e opera sfruttando attacchi multi-fase.
Tutto parte da una mail che ha come oggetto proprio le criptovalute e adesca le sue vittime grazie a titoli sensazionalistici. L’esca, spesso, è rappresentata da false opportunità di investimento o di lavoro nel mondo crypto.
L’FBI ha sottolineato, in una comunicazione che risale allo scorso settembre, come questi attacchi siano difficili da rilevare e ben congegnati. Si rivolgono a dipendenti che lavorano nel settore delle criptovalute e della finanza o ad appassionati del tema. E sono altamente personalizzati.
Tra gli aspetti più pericolosi c’è quello del coinvolgimento di lunga durata: i cybercriminali inviano mail non sospette per lungo tempo, conquistando la fiducia dei malcapitati, e solo alla fine distribuiscono il malware.
In particolare, il singolo attacco Hidden Risk osservato analizzato da SentinelOne risale alla fine di ottobre 2024. L’applicazione malevola ha scaricato un file PDF esca recuperato da Google Drive ma allo stesso tempo ha anche recuperato un file eseguibile da un server remoto, aprendo una backdoor.
L’applicazione era scritta nel linguaggio di programmazione Swift, firmata e autenticata da una ID sviluppatore Apple. Tra le attività criminali di BlueNoroff c’è, infatti, anche quella del dirottamento di account sviluppatori validi. Vengono usati per diffondere in modo più efficace il malware.
La backdoor si distingue poi per la presenza di un nuovo meccanismo di persistenza pensato per sopravvivere ai reboot. Il meccanismo sfrutta il file di configurazione zshenv. Gli APT (Advanced Persistent Threat) riescono a mantenere l’accesso non autorizzato ai sistemi, senza essere rintracciati, anche per lungo tempo, continuando a spiare le vittime e rubare dati.
Il meccanismo degli attacchi Hidden Risk alle aziende di criptovalute è in parte simile a quello che era stato usato da questo o da altri gruppi hacker per distribuire TodoSwift. Il sistema è particolarmente astuto perché Apple ha introdotto, a partire macOS Ventura, delle notifiche di minaccia. Gli utenti, cioè, vengono avvisati quando vengono installati nel sistema metodi persistenti e applicazioni sospette. L’abuso di zshenv però non allerta il sistema macOS e non comporta nessuna notifica.
Negli ultimi 12 mesi, i criminali informatici nordcoreani stanno sferrando attacchi contro una serie di aziende legate al mondo delle criptovalute sfruttando approcci anche molto complessi che hanno previsto, ad esempio, di avvicinarsi gradualmente alle vittime usando i social network.
Hidden Risk da questo punto di vista è una campagna meno sofisticata perché sfrutta in modo più tradizionale una serie di email. Non per questo, però, si dimostra meno efficace.
Il furto di codici privati e informazioni relative ai portafogli digitali è una minaccia molto seria che coinvolge non solo le singole aziende del settore ma potenzialmente l’intero ecosistema delle criptovalute.
Gen 18, 2019 0
Dic 23, 2024 0
Dic 23, 2024 0
Dic 20, 2024 0
Dic 18, 2024 0
Dic 23, 2024 0
Dic 23, 2024 0
Dic 20, 2024 0
Dic 18, 2024 0
Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Dic 20, 2024 0
Ieri il CSIRT ha pubblicato il nuovo rapporto mensile sullo...Dic 18, 2024 0
La sicurezza dei terminali di pagamento e degli ATM è...Dic 17, 2024 0
ESET ha pubblicato l’ultimo Threat Report, analisi...Dic 16, 2024 0
Nel moderno panorama di minacce informatiche, aspettare di...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo...Dic 23, 2024 0
Nel corso di questa settimana, il CERT-AGID ha rilevatoDic 20, 2024 0
Ieri il CSIRT ha pubblicato il nuovo rapporto mensile...Dic 18, 2024 0
La sicurezza dei terminali di pagamento e degli ATM è...Dic 18, 2024 0
La Germania compie un passo significativo nella lotta al...