Gli hacker Lazarus hanno realizzato un malware per macOS per colpire il settore FinTech

Gli hacker Lazarus hanno realizzato un malware per macOS per colpire il settore FinTech

Era già stata condotta in passato una campagna simile rivolta agli utenti Windows. Gli hacker avevano preparato tutto anche per Mac, ma sembra senza alcun esito operativo

di pubblicata il , alle 10:01 nel canale Sicurezza
macOS
 

Gli hacker del famigerato gruppo Lazarus hanno realizzato un eseguibile dannoso firmato per macOS allo scopo di impersonare Coinbase per adescare persone interessate a lavorare nel settore FinTech.

Il gruppo hacker aveva di recente condotto una campagna che prendeva di mira i sistemi Windows, utilizzando in particolare un documento .pdf contraffatto, denominato "Coinbase_online_careers_2022_07" che una volta aperto appare come un normale documento ma dietro le quinte carica una DLL che consente all'attore di minaccia di poter inviare comandi al dispositivo ormai compromesso.

I ricercatori di sicurezza di ESET sono però stati in grado di individuare un malware pensato per i sistemi macOS, con file compilati sia per processori x86, sia per i più recenti SoC Apple Silicon. Su Twitter ESET ha spiegato che il malware utilizza tre file: un pacchetto FinderFontsUpdater.app, un downloader safarifontage e il pdf-esca già citato poco sopra usato per la campagna verso gli utenti Windows. 

I ricercatori hanno riscontrato che il file è stato firmato il 21 luglio usando un certificato rilasciato a febbraio allo sviluppatore "Shankey Nohria" e con identificativo 264HFWQH63. Alla data del 12 agosto il certificato risultava però revocato da Apple, e l'applicazione dannosa non è risultata autenticata come invece richiede il processo di "Notarization" automatizzato che la Mela usa per verificare la presenza di eventuali componenti dannosi all'interno di software.

Lo scorso anno è stata attribuita sempre a Lazarus un'altra campagna con contorni simili che ha preso di mira, sempre tramite un pdf contraffatto, lavoratori del settore aerospaziale e militare. Il malware utilizzato quest'anno si collega però ad un server C2 differente, che al momento dell'analisi effettuata da ESET non rispondeva più ad alcun tipo di richiesta.

Non sono note con chiarezza le intenzioni di Lazarus per questa campagna, ma mettendo nel mirino persone che operano all'interno del settore FinTech è facile ipotizzare il desiderio di condurre attacchi sofisticati a bersagli di alto profilo allo scopo di "fare bottino" prendendo di mira il mondo delle criptovalute.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^