Gli hacker nordcoreani distribuiscono un malware innovativo che prende di mira macOS
Gli esperti di sicurezza informatica hanno costantemente segnalato gli hacker nordcoreani per le loro sfacciate intrusioni informatiche, mirate principalmente a rubare fondi per supportare iniziative statali ed eludere sanzioni internazionali. Una recente ricerca condotta da Jamf ha svelato un sofisticato ceppo di malware collegato a questi attori malintenzionati. Questo particolare malware è stato scoperto su VirusTotal, un popolare servizio utilizzato per la scansione di file alla ricerca di contenuti dannosi; curiosamente, il malware è stato inizialmente classificato come “pulito”. Il software dannoso è disponibile in tre diverse versioni: una sviluppata in Go, un’altra in Python e una terza che utilizza Flutter.
Flutter: un’arma a doppio taglio per sviluppatori e criminali informatici
Flutter, un framework open source creato da Google, consente agli sviluppatori di creare applicazioni per più piattaforme, come iOS e Android, da un’unica base di codice Dart. Questa utility multipiattaforma rende Flutter una risorsa preziosa per gli sviluppatori legittimi, ma funge anche da opzione interessante per i criminali informatici. La struttura del codice intrinsecamente complessa di Flutter può oscurare il malware, rendendo difficile per i sistemi di sicurezza rilevare potenziali minacce.
La minaccia mascherata: un gioco clonato
Il malware operava sotto le mentite spoglie di un banale gioco Minesweeper, che era stato clonato da GitHub. Il suo intento malevolo era nascosto in un file Dynamic Library (dylib), che mirava a stabilire una connessione con un server di comando e controllo (C2) situato in mbupdate.linkpc.net
. Questo dominio ha precedenti associazioni con malware nordcoreani. Fortunatamente, quando il team Jamf ha indagato, ha scoperto che il server era inattivo, restituendo solo un errore “404 Not Found”, impedendo all’attacco di materializzarsi.
Esecuzione ingannevole e potenziali pericoli
Un aspetto particolarmente intelligente di questo malware è la sua capacità di eseguire comandi AppleScript inviati dal server C2, impiegando una tecnica unica di esecuzione al contrario per eludere il rilevamento. La sperimentazione di Jamf ha confermato la capacità del malware di eseguire da remoto qualsiasi comando AppleScript, compresi quelli che potrebbero garantire agli hacker un controllo esteso sui sistemi infetti se l’esecuzione dell’attacco fosse proseguita.
Conclusioni e raccomandazioni
Questo incidente sembra essere un test preliminare da parte degli hacker, a indicare che stanno affinando le loro tecniche per eludere le misure di sicurezza di Apple. Sebbene Flutter in sé non sia dannoso, il suo design aiuta intrinsecamente a oscurare il codice dannoso, evidenziando una tendenza preoccupante in cui strumenti di sviluppo legittimi vengono riutilizzati per obiettivi dannosi. Man mano che le minacce alla sicurezza informatica si evolvono, rimane fondamentale per gli utenti, in particolare quelli in contesti aziendali, rimanere vigili e adottare le migliori pratiche per la sicurezza.
Lascia un commento