I ricercatori di cybersecurity stanno lanciando continui avvertimenti riguardo agli attacchi degli hacker nordcoreani che prendono di mira gli utenti di criptovalute su LinkedIn mediante il malware RustDoor. Questa minaccia è stata recentemente identificata dal team di Jamf Threat Labs, che ha scoperto un tentativo di attacco in cui un utente veniva contattato su LinkedIn con l'inganno da un presunto reclutatore per un legittimo scambio di criptovalute decentralizzato (DEX) chiamato STON.fi.

Questa attività malevola fa parte di una campagna multi-pronged orchestrata dagli attori delle minacce sostenuti dalla Repubblica Popolare Democratica di Corea (DPRK) per infiltrarsi nelle reti di interesse sotto il pretesto di condurre colloqui o incarichi di codifica. I settori finanziario e delle criptovalute sono tra i principali obiettivi degli avversari sponsorizzati dallo stato, che cercano di generare entrate illecite e di raggiungere obiettivi in continua evoluzione basati sugli interessi del regime.

Questi attacchi si manifestano sotto forma di "campagne di ingegneria sociale altamente mirate e difficili da rilevare", mirate ai dipendenti di aziende di finanza decentralizzata (DeFi), criptovalute e simili, come recentemente evidenziato dalla U.S. Federal Bureau of Investigation (FBI) in un avviso. Un indicatore notevole dell'attività di ingegneria sociale nordcoreana riguarda le richieste di eseguire codice o scaricare applicazioni su dispositivi aziendali o dispositivi che hanno accesso alla rete interna di un'azienda.

Un altro aspetto degno di nota è che tali attacchi comportano anche "richieste di eseguire un 'test pre-occupazionale' o un esercizio di debug che implica l'esecuzione di pacchetti Node.js non standard o sconosciuti, pacchetti PyPI, script o repository GitHub." Casi che presentano tali tattiche sono stati ampiamente documentati nelle ultime settimane, sottolineando un'evoluzione persistente degli strumenti utilizzati in queste campagne contro i bersagli.

L'ultima catena di attacchi rilevata da Jamf prevede di ingannare la vittima a scaricare un progetto di Visual Studio trappola come parte di una presunta sfida di codifica che incorpora comandi bash per scaricare due differenti payload di seconda fase ("VisualStudioHelper" e "zsh_env") con funzionalità identiche. Questo malware di seconda fase è RustDoor, che la compagnia sta tracciando come Thiefbucket. Al momento della scrittura, nessuno dei motori anti-malware ha segnalato il file di test di codifica zippato come malevolo. È stato caricato sulla piattaforma VirusTotal il 7 agosto 2024.

"I file di configurazione incorporati nei due campioni di malware mostrano che il VisualStudioHelper persisterà tramite cron mentre zsh_env persisterà tramite il file zshrc," hanno affermato i ricercatori Jaron Bradley e Ferdous Saljooki. RustDoor, un backdoor per macOS, è stato documentato per la prima volta da Bitdefender nel febbraio 2024 in connessione con una campagna di malware che prende di mira le aziende di criptovalute. Un'analisi successiva di S2W ha scoperto una variante Golang chiamata GateDoor destinata a infettare le macchine Windows.

VisualStudioHelper è anche progettato per fungere da ladro di informazioni raccogliendo file specificati nella configurazione, ma solo dopo aver richiesto all'utente di inserire la propria password di sistema fingendo che provenga dall'app Visual Studio per evitare di destare sospetti. Entrambi i payload, tuttavia, operano come backdoor e utilizzano due diversi server per le comunicazioni di comando e controllo (C2).

I ricercatori hanno sottolineato l'importanza di addestrare i dipendenti, inclusi gli sviluppatori, a essere cauti nel fidarsi di chi si connette sui social media e chiede agli utenti di eseguire software di qualsiasi tipo. Questi schemi di ingegneria sociale eseguiti dalla DPRK provengono da individui ben versati in inglese e che entrano nella conversazione avendo ben studiato il loro obiettivo.