EdoneViewer: il malware di Lazarus che prende di mira gli utenti macOS

Kaspersky Lab ha scoperto una nuova variante di un downloader dannoso per macOS, presumibilmente associato al gruppo APT BlueNoroff e alla sua campagna RustBucket. Il gruppo si rivolge alle istituzioni finanziarie e agli utenti associati alle criptovalute.

Il downloader era mascherato da file PDF in un archivio ZIP creato il 21 ottobre 2023. 

Al momento del ritrovamento il bootloader aveva una firma legittima, ma ora il certificato è stato revocato. Non è noto come sia stato distribuito esattamente l’archivio. Forse gli aggressori lo hanno inviato alle vittime tramite posta, come nelle loro campagne precedenti.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’eseguibile, scritto in Swift e chiamato EdoneViewer, conteneva versioni per processori Intel e Apple Silicon e il payload dannoso era crittografato utilizzando la crittografia XOR.

Esca PDF dannosa

Il downloader ha eseguito un AppleScript che scaricava un file PDF innocuo per distrarre l’utente e ha effettuato una richiesta POST per scaricare un Trojan (.pw) da un server Command and Control ( C2 ) registrato il 20 ottobre. 

Il Trojan raccoglieva e inviava le seguenti informazioni sul sistema a intervalli di un minuto:

• nome del computer;
• versione del sistema operativo;
• fuso orario del dispositivo;
• data di avvio del dispositivo;
• data di installazione del sistema operativo;
• ora attuale;
• un elenco dei processi in esecuzione sul sistema.

In risposta, il Trojan aspettava un comando dal server per salvare i dati, cancellarsi o continuare ad attendere. 

Purtroppo al momento dell’analisi il server non aveva inviato alcun comando, il che ha reso impossibile conoscere il contenuto della fase successiva dell’attacco.

RustBucket è un toolkit sviluppato da un attore di minacce nordcoreano noto come BlueNoroff. Questa è solo una delle tante operazioni informatiche monitorate dal gruppo di hacker d’élite Lazarus Group. Il Gruppo Lazarus, a sua volta, è sotto il controllo del Reconnaissance General Bureau (RGB) della Corea del Nord, che è la principale agenzia di intelligence del paese.

È stato precedentemente riportato che il malware, compilato in Swift, è progettato per scaricare da un server C2 il malware principale, un binario basato su Rust con ampie capacità di raccolta di informazioni, nonché per ottenere ed eseguire ulteriori binari o shell Mach-O sul server o sul sistema compromesso.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli