BlueNoroff Hidden Risk è una campagna di phishing che sfrutta falsi avvisi su criptovalute per infettare i dispositivi macOS con malware multi-stage. Il vettore di infezione inizia con un’email contenente un link a un’applicazione malevola mascherata da PDF. Questa app scarica e installa un backdoor denominato ‘growth’, capace di eseguire comandi remoti e garantire la persistenza attraverso un file di configurazione Zsh chiamato ~/.zshenv, una tecnica di persistenza particolarmente efficace in macOS. La campagna è attribuita a un attore di minacce affiliato alla DPRK, noto per mirare a target legati al settore delle criptovalute.

Cos’è la campagna di phishing denominata Hidden Risk.

La campagna “Hidden Risk”, attribuita a un attore di minaccia riconducibile alla Corea del Nord, ha come obiettivo le aziende legate alle criptovalute. L’infezione avviene tramite phishing, utilizzando email che propagano false notizie sulle criptovalute, inducendo le vittime a scaricare un’applicazione malevola mascherata da PDF. Questa app sfrutta un meccanismo di persistenza innovativo tramite il file di configurazione zshenv, consentendo al malware di rimanere attivo anche dopo un riavvio del sistema. Il malware scarica un secondo stadio, un backdoor, che consente l’esecuzione di comandi remoti e la raccolta di dati sensibili. Le vittime sono principalmente utenti macOS di aziende nel settore delle criptovalute, rendendo difficile stimare il numero di colpiti e i danni economici, ma le campagne precedenti hanno suggerito che potrebbero essere stati compromettere milioni di dollari in fondi rubati e risorse informatiche sottratte. La crescente sofisticazione di queste tecniche evidenzia la necessità di un rafforzamento della sicurezza per gli utenti e le organizzazioni del settore.

Come viene orchestrato l’attacco.

Un attaccante può sfruttare la vulnerabilità delle configurazioni Zsh su macOS per instaurare un persistente accesso non autorizzato al sistema. L’attacco inizia con un’email di phishing contenente un link a un’applicazione malevola, mascherata da PDF su argomenti criptovalutari. Quando l’utente avvia l’applicazione, questa scarica e apre un documento PDF innocuo, mentre contemporaneamente installa un malware backdoor. Questo malware, una volta eseguito, si configura per l’accesso remoto inviando informazioni al server di comando e controllo (C2) e riceve comandi da eseguire sul sistema compromesso. Utilizzando un file di configurazione Zsh (~/.zshenv), il malware assicura che venga eseguito ad ogni sessione Zsh, garantendo una persistenza più robusta rispetto ad altre tecniche che richiedono un’interazione diretta dell’utente. In questo modo, l’attaccante ha la possibilità di attuare operazioni a lungo termine senza essere rilevato.

In cosa si distingue da attacchi simili

Questo attacco si distingue da campagne simili per l’uso di un meccanismo di persistenza innovativo tramite il file di configurazione Zshenv, una metodologia non sfruttata in precedenti attacchi attribuiti a BlueNoroff, che tendevano a usare il file ~/.zshrc per la persistenza, una soluzione meno efficace. Altri attacchi noti, come quelli di RustBucket, puntavano su varianti di malware multi-fase specificamente destinate a utenti macOS, ma utilizzavano metodi di ingegneria sociale più complessi e ben articolati. Inoltre, questa campagna, chiamata “Hidden Risk”, utilizza email di phishing con contenuti meno sofisticati rispetto ad attacchi precedenti, sfruttando approcci di social engineering più tradizionali e meno elaborati, mentre attacchi come KandyKorn hanno mostrato un sofisticato targeting di ingegneri blockchain tramite malware specificamente progettato. Questi approcci dimostrano un’evoluzione nelle strategie operative degli attori minacciosi, rendendoli potenzialmente meno prevedibili e più difficili da rilevare.

Quali sono le possibili conseguenze per le vittime?

Le conseguenze per le vittime dell’attacco condotto dal gruppo BlueNoroff includono il furto di criptovalute e l’installazione di malware backdoor sui dispositivi macOS. Le vittime possono subire perdite finanziarie significative, poiché il malware ha la capacità di eseguire comandi remoti e scaricare ulteriori payload dannosi. Inoltre, il meccanismo di persistenza sfruttato attraverso il file di configurazione zshenv garantisce che il malware rimanga attivo anche dopo il riavvio del sistema, aumentando il rischio di compromissione prolungata. La manipolazione dei dati e la violazione della privacy degli utenti sono ulteriori devastanti conseguenze, poiché gli attaccanti possono accedere a informazioni sensibili e potenzialmente utilizzarle per elaborare attacchi successivi. In sintesi, le vittime rischiano un attacco mirato che colpisce non solo le loro finanze, ma anche la sicurezza e l’integrità dei loro dispositivi.

Quali contromisure adottare per mitigare l’attacco?

Per mitigare il rischio di attacchi come quelli condotti dal gruppo BlueNoroff, è fondamentale implementare misure preventive efficaci. Utilizzare soluzioni antivirus e anti-malware aggiornate per rilevare ed eliminare eventuali minacce prima che possano causare danni. Assicurarsi che tutti i software siano regolarmente aggiornati per beneficiare di patch di sicurezza. Adottare una politica di sicurezza informatica che includa la formazione degli utenti, focalizzandosi sulla rilevazione di email sospette o phishing. Implementare un sistema di autenticazione a più fattori per proteggere gli accessi ai sistemi sensibili. Inoltre, isolare i dispositivi collegati a Internet e limitare i diritti di amministrazione agli utenti fidati può ridurre il rischio di infezione. Infine, effettuare back-up regolari dei dati per garantire la possibilità di ripristino in caso di attacco riuscito, mantenendo sempre una vigilanza sulle attività di rete per rilevare comportamento anomalo.

Links