La Corea del Nord sta emergendo come una minaccia crescente nel cyberspazio, con i suoi hacker che conducono molteplici campagne, prendendo di mira frequentemente il sistema operativo macOS. La nazione è nota per avere hacker al suo servizio, responsabili talvolta di gravi incidenti, come il furto di dati della Sony Pictures nel 2014, imputato a hacker legati alla Corea del Nord.
Un report pubblicato da SentinelOne rivela che gli hacker collegati alla Corea del Nord sono ancora attivi. Nel 2023 hanno dedicato molto tempo e risorse all’attacco degli utenti macOS.
I ricercatori di sicurezza hanno identificato due campagne principali mirate a macOS nel 2023: RustBucket e KandyKorn.
RustBucket impiega un malware denominato SwiftLoader, presentato come un visualizzatore PDF in un documento PDF ingannevole inviato alle vittime. SwiftLoader utilizza un’applet AppleScript e un’applicazione basata su Swift che, aprendo un PDF specificamente realizzato, attiva un codice capace di scaricare un payload basato su Rust nel Mac.
KandyKorn, invece, ha preso di mira gli ingegneri blockchain di una piattaforma di scambio criptovalute. Attraverso script Python, questa campagna ha preso il controllo dell’app Discord dell’host, installando un trojan RAT (Remote Access Trojan) nei sistemi bersaglio.
Le analisi indicano che i creatori di malware stanno combinando elementi software di entrambe le campagne. RustBucket, ad esempio, ha mostrato diverse varianti dello SwiftLoader, funzionanti sia su hardware Intel che Apple Silicon. In un caso, una variante di SwiftLoader era contenuta in un file chiamato “Crypto-assets and their risks for financial stability.app.zip”, che presentava elementi collegati a KandyKorn.
Questi elementi includono uno script Python di KandyKorn “FinderTools” e l’uso di un nome file “.pld”, già apparso in un’altra variante. I ricercatori hanno una “confidenza media” che il file .pld in questa ibridazione si riferisca allo stesso utilizzato nel RAT KandyKorn.
La sovrapposizione di infrastrutture, obiettivi e TTP (Tactics, Techniques, and Procedures) suggerisce che le due campagne siano utilizzate insieme in alcune varianti.
L’analisi di SentinelOne “corrobora i risultati di altri ricercatori sul fatto che gli attori minacciosi collegati alla Corea del Nord tendono a riutilizzare infrastrutture condivise”, conclude il rapporto, offrendo l’opportunità di comprendere meglio le attività e scoprire nuovi indicatori.
Per proteggersi da KandyKorn e RustBucket, i ricercatori consigliano di esercitare il buon senso e seguire le migliori pratiche online. Questo include comprendere le fonti di file e applicazioni, evitare di aprire documenti di fonti inaffidabili e rimanere aggiornati con gli aggiornamenti di sicurezza.
Con l’interesse degli hacker in macOS cresciuto circa dieci volte rispetto al 2019, gli utenti Mac devono essere più consapevoli che mai del rischio, nonostante gli sforzi di Apple per mantenere il sistema operativo il più sicuro possibile.
Leggi o Aggiungi Commenti