Redazione RHC : 13 Dicembre 2023 07:37
Kaspersky Lab ha scoperto una nuova variante di un downloader dannoso per macOS, presumibilmente associato al gruppo APT BlueNoroff e alla sua campagna RustBucket. Il gruppo si rivolge alle istituzioni finanziarie e agli utenti associati alle criptovalute.
Il downloader era mascherato da file PDF in un archivio ZIP creato il 21 ottobre 2023.
Al momento del ritrovamento il bootloader aveva una firma legittima, ma ora il certificato è stato revocato. Non è noto come sia stato distribuito esattamente l’archivio. Forse gli aggressori lo hanno inviato alle vittime tramite posta, come nelle loro campagne precedenti.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
L’eseguibile, scritto in Swift e chiamato EdoneViewer, conteneva versioni per processori Intel e Apple Silicon e il payload dannoso era crittografato utilizzando la crittografia XOR.
Esca PDF dannosa
Il downloader ha eseguito un AppleScript che scaricava un file PDF innocuo per distrarre l’utente e ha effettuato una richiesta POST per scaricare un Trojan (.pw) da un server Command and Control ( C2 ) registrato il 20 ottobre.
Il Trojan raccoglieva e inviava le seguenti informazioni sul sistema a intervalli di un minuto:
In risposta, il Trojan aspettava un comando dal server per salvare i dati, cancellarsi o continuare ad attendere.
Purtroppo al momento dell’analisi il server non aveva inviato alcun comando, il che ha reso impossibile conoscere il contenuto della fase successiva dell’attacco.
RustBucket è un toolkit sviluppato da un attore di minacce nordcoreano noto come BlueNoroff. Questa è solo una delle tante operazioni informatiche monitorate dal gruppo di hacker d’élite Lazarus Group. Il Gruppo Lazarus, a sua volta, è sotto il controllo del Reconnaissance General Bureau (RGB) della Corea del Nord, che è la principale agenzia di intelligence del paese.
È stato precedentemente riportato che il malware, compilato in Swift, è progettato per scaricare da un server C2 il malware principale, un binario basato su Rust con ampie capacità di raccolta di informazioni, nonché per ottenere ed eseguire ulteriori binari o shell Mach-O sul server o sul sistema compromesso.
RedazioneUn ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...
Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
L’azienda cinese Kaiwa Technology, con sede a Guangzhou, ha annunciato l’intenzione di creare il primo “utero robotico” al mondo entro il 2026: una macchina umanoide con un...
