I ricercatori di sicurezza informatica continuano a lanciare l’allarme sui tentativi degli autori di minacce nordcoreane di prendere di mira potenziali vittime su LinkedIn per distribuire un malware chiamato RustDoor.
L’ultima segnalazione arriva da Jamf Threat Labs, che ha affermato di aver individuato un tentativo di attacco in cui un utente è stato contattato sul noto social network di utenti pr9fes fingendo di essere un reclutatore per un legittimo exchange di criptovalute decentralizzato (DEX) chiamato STON.fi.
L’attività criminale dannosa fa parte di una campagna su più fronti portata avanti da autori sostenuti dalla Repubblica Popolare Democratica di Corea (RPDC) per infiltrarsi nelle reti di interesse.
I settori finanziario e delle criptovalute sono tra i principali obiettivi dell’organizzazione che apparentemente sembri essere finanziato dallo stato, cercano di generare entrate illecite e soddisfare una serie di obiettivi in continua evoluzione basati sugli interessi del regime.
Questi attacchi si manifestano sotto forma di “campagne di ingegneria sociale altamente personalizzate e difficili da rilevare” rivolte ai dipendenti della finanza decentralizzata (“DeFi”), delle criptovalute e di aziende simili, come recentemente evidenziato dall’FBI in un avviso.
Uno degli indicatori più evidenti dell’attività di ingegneria sociale nordcoreana riguarda le richieste di esecuzione di codice o di download di applicazioni su dispositivi di proprietà aziendale o su dispositivi che hanno accesso alla rete interna di un’azienda.
Un altro aspetto degno di nota è che tali attacchi comportano anche “richieste di condurre un ‘test pre-assunzione’ o la compilazione di un elaborato che prevede l’esecuzione di pacchetti Node.js, pacchetti PyPI, script o repository GitHub non standard o sconosciuti.
Casi in cui sono state utilizzate tali tattiche sono stati ampiamente documentati nelle ultime settimane, evidenziando una continua evoluzione degli strumenti utilizzati in queste campagne contro gli obiettivi.
L’ultima catena di attacchi rilevata da Jamf consiste nell’ingannare la vittima inducendola a scaricare un progetto esca di Visual Studio come parte di una presunta sfida di codifica che incorpora al suo interno comandi bash per scaricare due diversi payload facenti parte di una seconda fase dell’attacco(“VisualStudioHelper” e “zsh_env”) con funzionalità identiche.
Questo malware di secondo livello è RustDoor, che l’azienda sta monitorando come Thiefbucket. Al momento in cui scrivo, nessuno dei motori anti-malware ha segnalato il file di test di codifica compresso come dannoso. È stato caricato sulla piattaforma VirusTotal il 7 agosto 2024.
I file di configurazione incorporati nei due distinti campioni di malware mostrano che VisualStudioHelper persisterà tramite cron mentre zsh_env persisterà tramite il file zshrc, hanno affermato i ricercatori Jaron Bradley e Ferdous Saljooki.
RustDoor, una backdoor per macOS, è stata documentata per la prima volta da Bitdefender nel febbraio 2024 in relazione a una campagna malware che prendeva di mira le aziende di criptovaluta. Un’analisi successiva di S2W ha scoperto una variante di Golang denominata GateDoor, pensata per infettare i computer Windows.
I risultati di Jamf sono significativi, non solo perché segnano la prima volta in cui il malware è stato formalmente attribuito ad autori di minacce nordcoreane, ma anche per il fatto che il malware è scritto in Objective-C.
VisualStudioHelper è progettato anche per agire come un ladro di informazioni, raccogliendo i file specificati nella configurazione, ma solo dopo aver chiesto all’utente di immettere la password di sistema, mascherandola come se provenisse dall’app Visual Studio per evitare di destare sospetti.
Tuttavia, entrambi i payload operano come backdoor e utilizzano due server diversi per le comunicazioni di comand and control (C2).
Gli attori delle minacce continuano a rimanere vigili nel trovare nuovi modi per perseguire coloro che operano nel settore delle criptovalute, hanno affermato i ricercatori. È importante addestrare e sensibilizzare i dipendenti, compresi gli sviluppatori, ad essere prudenti nel fidarsi di coloro che richiedono sui social media agli utenti di eseguire software di qualsiasi tipo.
Questi schemi di ingegneria sociale messi in atto dalla RPDC provengono da persone che conoscono bene l’inglese e che iniziano la conversazione dopo aver studiato a fondo il loro obiettivo.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a
@FACEBOOK https://www.facebook.com/hackerpunk19202
@EBOOK https://amzn.eu/d/6dcujGr
@EBOOK (English version) https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ