Recenti attacchi informatici orchestrati da hacker nordcoreani hanno preso di mira aziende legate al mondo delle criptovalute, sfruttando un malware avanzato noto come Hidden Risk, capace di infettare dispositivi Apple con sistema macOS. Questa campagna è stata attribuita al gruppo BlueNoroff, già noto per l'utilizzo di famiglie di malware come RustBucket e KANDYKORN. SentinelOne, azienda di cybersecurity, ha identificato la campagna, sottolineando che gli attacchi iniziano con email contenenti fake news su trend delle criptovalute per ingannare le vittime. Questo metodo sfrutta applicazioni malevole mascherate da file PDF, un approccio che è parte di attacchi di social engineering altamente mirati e difficili da rilevare.
Target degli Attacchi
Secondo un avviso dell'FBI del settembre 2024, questi attacchi sono rivolti principalmente a dipendenti nel settore della finanza decentralizzata (DeFi) e delle criptovalute. Gli hacker si fingono potenziali datori di lavoro o investitori aziendali, costruendo un rapporto di fiducia con le vittime prima di introdurre il malware. In ottobre 2024, SentinelOne ha osservato un tentativo di phishing tramite un'applicazione dropper che imitava un file PDF, distribuito attraverso il sito delphidigital[.]org. Questa applicazione, scritta in linguaggio Swift, era firmata e notarizzata con un ID sviluppatore Apple che è stato successivamente revocato.
Mecchanismo del Malware
Il malware, una volta avviato, scarica un file PDF esca da Google Drive mentre in background recupera ed esegue un eseguibile di seconda fase da un server remoto. Questo file eseguibile agisce come una backdoor, permettendo l'esecuzione di comandi remoti. Una caratteristica innovativa di questo malware è il meccanismo di persistenza che sfrutta il file di configurazione zshenv, una tecnica finora mai rilevata in natura. Questo approccio evita le notifiche di persistenza introdotte da Apple su macOS Ventura, rendendo il malware particolarmente pericoloso.
Infrastruttura e Adattabilità
Inoltre, gli hacker nordcoreani hanno utilizzato il registrar di domini Namecheap per costruire un'infrastruttura apparentemente legittima, focalizzandosi su temi di criptovalute e investimenti. Alcuni elementi della catena di attacco hanno mostrato somiglianze con una campagna precedente individuata da Kandji, che utilizzava un'app dropper macOS similmente nominata. Non è chiaro se tali cambiamenti siano una risposta a report pubblici, ma è noto che gli attori nordcoreani sono creativi e adattabili.
Strategie di BlueNoroff
Un aspetto preoccupante è la capacità del gruppo BlueNoroff di acquisire o dirottare conti sviluppatore Apple validi per far notarizzare il proprio malware. Negli ultimi mesi, gli attori nordcoreani hanno condotto campagne contro industrie legate alle criptovalute, spesso coinvolgendo le vittime attraverso social media. La campagna Hidden Risk si distacca da questa strategia, adottando un approccio di phishing via email più tradizionale.