Gli hacker Lazarus hanno realizzato un malware per macOS per colpire il settore FinTech

Gli hacker Lazarus hanno realizzato un malware per macOS per colpire il settore FinTech

Era già stata condotta in passato una campagna simile rivolta agli utenti Windows. Gli hacker avevano preparato tutto anche per Mac, ma sembra senza alcun esito operativo

di pubblicata il , alle 10:01 nel canale Sicurezza
macOS
 

Gli hacker del famigerato gruppo Lazarus hanno realizzato un eseguibile dannoso firmato per macOS allo scopo di impersonare Coinbase per adescare persone interessate a lavorare nel settore FinTech.

Il gruppo hacker aveva di recente condotto una campagna che prendeva di mira i sistemi Windows, utilizzando in particolare un documento .pdf contraffatto, denominato "Coinbase_online_careers_2022_07" che una volta aperto appare come un normale documento ma dietro le quinte carica una DLL che consente all'attore di minaccia di poter inviare comandi al dispositivo ormai compromesso.

I ricercatori di sicurezza di ESET sono però stati in grado di individuare un malware pensato per i sistemi macOS, con file compilati sia per processori x86, sia per i più recenti SoC Apple Silicon. Su Twitter ESET ha spiegato che il malware utilizza tre file: un pacchetto FinderFontsUpdater.app, un downloader safarifontage e il pdf-esca già citato poco sopra usato per la campagna verso gli utenti Windows. 

I ricercatori hanno riscontrato che il file è stato firmato il 21 luglio usando un certificato rilasciato a febbraio allo sviluppatore "Shankey Nohria" e con identificativo 264HFWQH63. Alla data del 12 agosto il certificato risultava però revocato da Apple, e l'applicazione dannosa non è risultata autenticata come invece richiede il processo di "Notarization" automatizzato che la Mela usa per verificare la presenza di eventuali componenti dannosi all'interno di software.

Lo scorso anno è stata attribuita sempre a Lazarus un'altra campagna con contorni simili che ha preso di mira, sempre tramite un pdf contraffatto, lavoratori del settore aerospaziale e militare. Il malware utilizzato quest'anno si collega però ad un server C2 differente, che al momento dell'analisi effettuata da ESET non rispondeva più ad alcun tipo di richiesta.

Non sono note con chiarezza le intenzioni di Lazarus per questa campagna, ma mettendo nel mirino persone che operano all'interno del settore FinTech è facile ipotizzare il desiderio di condurre attacchi sofisticati a bersagli di alto profilo allo scopo di "fare bottino" prendendo di mira il mondo delle criptovalute.

I migliori sconti su Amazon oggi
-27%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.99 Compra ora
-27%

HP 250R G9, Computer Portatile Notebook, Intel i5-1334u 10 Core 3.4Ghz, Display 15.6'' FHD, Ram 32GB, SSD 1000GB, Windows 11

549.90 Compra ora
-27%

Bosch Set da 34 Pezzi di punte e bit avvitamento in titanio X-Line (per legno, pietra e metallo, accessori trapano)

14.94 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^