Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
Allarme Microsoft Falso: NarwhalRAT nordcoreano entra via ZIP e link LNK, rubando tutto in silenzio
Una nuova campagna di spear phishing sta sfruttando falsi avvisi di sicurezza di Microsoft Account per distribuire NarwhalRAT, un malware di tipo Remote Access Trojan legato a un gruppo di attacco nordcoreano noto per operazioni mirate e persistenti. Il messaggio email simula una notifica di attività anomala, citando la generazione ripetuta di codici OTP e suggerendo un possibile tentativo di phishing contro l’account.
Il testo spinge la vittima a cambiare password e soprattutto a consultare un presunto documento informativo allegato, creando urgenza e credibilità tramite un linguaggio tipico degli alert di sicurezza.
Il punto chiave della catena di infezione è l’uso di un archivio ZIP al posto di un documento. All’interno del file compresso si trova un collegamento LNK malevolo che, una volta eseguito, avvia una sequenza multi-stage. La fase iniziale utilizza script batch intermedi per scaricare e installare NarwhalRAT, includendo anche il download di un eseguibile Python legittimo da fonti ufficiali e di un file CAT del catalogo di sicurezza Windows. Questa combinazione aiuta a camuffare il traffico e a rendere più difficile distinguere componenti leciti da quelli ostili.
Per mantenere la persistenza sul sistema compromesso, gli attaccanti creano una operazione pianificata di Windows. Il task è configurato per avviare il file CAT, che a sua volta recupera ed esegue il payload principale direttamente in memoria, riducendo gli artefatti su disco e complicando l’analisi forense. Il malware, scritto in Python, include funzioni avanzate di raccolta dati come keylogging, screenshot anche ad alta risoluzione, registrazione audio ambientale, enumerazione di finestre attive, raccolta dati da dispositivi USB e caricamento di contenuti di directory. Inoltre supporta l’esecuzione di comandi remoti impartiti dal server di comando e controllo e il cambio dinamico dei server C2.
NarwhalRAT prende il nome dal percorso usato per archiviare i dati raccolti, una cartella nascosta in APPDATA che imita un componente associato a Naver Whale, un browser noto in Corea del Sud, per aumentare l’evasione. Sul piano infrastrutturale, la comunicazione può passare da siti coreani usati come relay e può includere anche un canale secondario basato su API di un servizio cloud, sfruttato come meccanismo di dead drop resolver per rendere più resiliente il controllo remoto.