da Hardware Upgrade :
Gli hacker del famigerato gruppo Lazarus hanno realizzato un
eseguibile dannoso firmato per macOS allo scopo di impersonare Coinbase
per adescare persone interessate a lavorare nel settore FinTech.
Il gruppo hacker aveva di recente condotto una campagna che prendeva di
mira i sistemi Windows, utilizzando in particolare un documento .pdf
contraffatto, denominato “Coinbase_online_careers_2022_07” che una volta
aperto appare come un normale documento ma dietro le quinte carica una DLL
che consente all’attore di minaccia di poter inviare comandi al
dispositivo ormai compromesso.
I ricercatori di sicurezza di ESET sono per stati in grado di
individuare un malware pensato per i sistemi macOS, con file
compilati sia per processori x86, sia per i pi recenti SoC Apple Silicon.
Su Twitter ESET ha spiegato che il malware utilizza tre file: un pacchetto
FinderFontsUpdater.app, un downloader safarifontage e il pdf-esca gi
citato poco sopra usato per la campagna verso gli utenti Windows.
#ESETresearch
#BREAKING
A signed Mac executable disguised as a job description for Coinbase
was uploaded to VirusTotal from Brazil 🇧🇷. This is an instance of
Operation In(ter)ception by #Lazarus
for Mac. @pkalnai
@dbreitenbacher
1/7 pic.twitter.com/dXg89el5VT
ESET research (@ESETresearch) August
16, 2022
I ricercatori hanno riscontrato che il file stato firmato il 21 luglio
usando un certificato rilasciato a febbraio allo sviluppatore “Shankey
Nohria” e con identificativo 264HFWQH63. Alla data del 12 agosto il
certificato risultava per revocato da Apple, e l’applicazione dannosa non
risultata autenticata come invece richiede il processo di “Notarization”
automatizzato che la Mela usa per verificare la presenza di eventuali
componenti dannosi all’interno di software.
Lo scorso anno stata attribuita sempre a Lazarus un’altra campagna con
contorni simili che ha preso di mira, sempre tramite un pdf
contraffatto, lavoratori del settore aerospaziale e militare. Il malware
utilizzato quest’anno si collega per ad un server C2 differente, che al
momento dell’analisi effettuata da ESET non rispondeva pi ad alcun tipo
di richiesta.
Non sono note con chiarezza le intenzioni di Lazarus per questa campagna,
ma mettendo nel mirino persone che operano all’interno del settore FinTech
facile ipotizzare il desiderio di condurre attacchi sofisticati a
bersagli di alto profilo allo scopo di “fare bottino” prendendo di
mira il mondo delle criptovalute.