Malware macOS nordcoreano sfrutta finti colloqui di lavoro per rubare credenziali

Un’analisi approfondita statica e dinamica ha portato all’individuazione di un malware per macOS denominato DriverFixer0428, classificato come ladro di credenziali e attribuito con un livello di confidenza medio-alto alla campagna nordcoreana nota come “Contagious Interview”. Il campione si presenta come una presunta utility di sistema, progettata per indurre l’utente a fidarsi dell’applicazione e a interagire con essa.

Il comportamento principale del malware consiste nella raccolta delle credenziali di accesso del sistema macOS. Per ottenere questo risultato, DriverFixer0428 utilizza finestre di dialogo artefatte che riproducono fedelmente i prompt di sicurezza del sistema operativo e le richieste di autorizzazione di Google Chrome, sfruttando tecniche di ingegneria sociale. Le credenziali inserite vengono successivamente inviate a infrastrutture controllate dagli attaccanti attraverso l’API di archiviazione cloud di Dropbox.

Il nome del campione deriva da riferimenti interni presenti nel binario analizzato. Durante l’analisi statica sono emersi identificatori come DriverFixer0428, OverlayWindowController e riferimenti a file Swift, suggerendo una struttura applicativa coerente con un progetto legittimo. Il suffisso “0428” viene interpretato come un possibile riferimento alla data di compilazione del malware, il 28 aprile, oppure a una numerazione interna di versione utilizzata dagli sviluppatori della minaccia.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Dal punto di vista tecnico, il campione analizzato corrisponde a un binario universale Mach-O, compatibile con architetture x86_64 e ARM64, scritto in Swift e basato su AppKit. Il file ha una dimensione di circa 235 KB, utilizza l’identificativo di pacchetto chrome.DriverFixer0428 ed è associato al percorso sorgente DriverFixer0428/ViewController.swift. L’hash SHA-256 del campione è 9aef4651925a752f580b7be005d91bfb1f9f5dd806c99e10b17aa2e06bf4f7b5.

L’attribuzione alla Corea del Nord si basa su una correlazione delle tecniche, tattiche e procedure con campagne già documentate pubblicamente. Sebbene l’hash specifico non risulti presente nei principali database di threat intelligence, le somiglianze operative collegano il campione alle famiglie FlexibleFerret, FrostyFerret, ChromeUpdate e CameraAccess, tutte associate alla stessa attività di minaccia. In particolare, l’infrastruttura di rete coincide con quella descritta da SentinelOne nel febbraio 2025.

Le comunicazioni di rete osservate includono il contatto con api.ipify.org per determinare l’indirizzo IP pubblico del sistema compromesso e l’utilizzo delle API di Dropbox per la gestione dei token OAuth e il caricamento dei dati esfiltrati. Questa scelta consente al malware di mascherare il traffico malevolo dietro servizi cloud legittimi, riducendo la probabilità di rilevamento da parte dei controlli di sicurezza basati sulla rete.

L’analisi dinamica condotta tramite il debugger LLDB ha evidenziato un articolato sistema di evasione delle sandbox. DriverFixer0428 esegue controlli runtime per individuare ambienti virtualizzati interrogando API di sistema come sysctlbyname, il registro IOKit e l’API NSScreen. In presenza di una macchina virtuale o di un ambiente di analisi, il malware evita di attivare il payload e rimane in uno stato di esecuzione inattivo.

Questo comportamento di “fallimento silenzioso” spiega la discrepanza tra i risultati dell’analisi statica, che indicano chiaramente attività malevole, e i punteggi relativamente bassi ottenuti nelle sandbox automatizzate, dove il campione viene classificato come probabilmente benigno. Secondo gli analisti, questa capacità operativa riflette un livello di maturità compatibile con attori sponsorizzati da uno Stato e conferma i limiti degli strumenti di rilevamento automatici nel contrasto a minacce avanzate.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli