Il Malware nordcoreano attacca gli utenti Mac nell’industria dei Crypto

Un nuovo rapporto della società di cybersecurity SentinelOne evidenzia una ondata di attacchi malware avanzati rivolti alle aziende di criptovaluta, in particolare quelle che utilizzano dispositivi macOS.

Gli attacchi, attribuiti a hacker nordcoreani associati al gruppo “BlueNoroff”, utilizzano email di phishing e link ingannevoli per infiltrarsi nei sistemi aziendali e rubare fondi.

Evidenze tecniche hanno collegato la campagna a BlueNoroff, un sottogruppo recentemente identificato dal Tesoro degli Stati Uniti come parte di Lazarus, il più noto gruppo di hacker sponsorizzato dal governo della Corea del Nord, come segnalato da The Record.

La campagna di BlueNoroff, conosciuta come “Hidden Risk”, sarebbe iniziata ad aprile 2023 e utilizza false notizie di aggiornamento sulle criptovalute per attirare le vittime.

Le applicazioni malevole travestite da documenti PDF ingannano gli utenti inducendoli a scaricare malware. Queste email di phishing appaiono spesso provenire da fonti rispettabili nel settore della criptovaluta, contenendo collegamenti a “rapporti” che, invece, installano un’applicazione di malware.

Titoli come “Il Rischio Nascosto dietro la Nuova Ondata di Prezzo dei Bitcoin” sono studiati per sembrare credibili, ingannando gli utenti ad aprire i file.

Il rapporto di SentinelOne evidenzia una tattica innovativa all’interno della campagna: l’utilizzo del file “zshenv”, un file di sistema macOS nascosto, per mantenere persistente il malware. Questo metodo permette al malware di eludere il rilevamento senza innescare gli allarmi di sicurezza tipici di macOS.

Una volta incorporato, il malware installa un backdoor, permettendo agli aggressori di controllare a distanza i dispositivi infettati, eseguire comandi e raccogliere dati.

Questa campagna si allinea con l’interesse di lunga data della Corea del Nord per le criptovalute come fonte di finanziamento. Nel settembre 2024, l’FBI ha emesso avvertimenti riguardo agli hacker nordcoreani che miravano alle piattaforme di finanza decentralizzata (DeFi) e alle aziende di criptovalute attraverso il phishing.

La campagna “Rischio Nascosto” sottolinea l’evoluzione delle tecniche del gruppo, in particolare nel mirare alle vulnerabilità di macOS.

Le scoperte di SentinelOne sottolineano l’importanza della prudenza nell’industria delle criptovalute. Gli esperti di sicurezza raccomandano che le aziende migliorino i loro protocolli di sicurezza, istruiscano i dipendenti sulle minacce di phishing e prestino attenzione quando gestiscono email o applicazioni inaspettate.