Redazione RHC : 13 Dicembre 2023 07:37
Kaspersky Lab ha scoperto una nuova variante di un downloader dannoso per macOS, presumibilmente associato al gruppo APT BlueNoroff e alla sua campagna RustBucket. Il gruppo si rivolge alle istituzioni finanziarie e agli utenti associati alle criptovalute.
Il downloader era mascherato da file PDF in un archivio ZIP creato il 21 ottobre 2023.
Al momento del ritrovamento il bootloader aveva una firma legittima, ma ora il certificato è stato revocato. Non è noto come sia stato distribuito esattamente l’archivio. Forse gli aggressori lo hanno inviato alle vittime tramite posta, come nelle loro campagne precedenti.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’eseguibile, scritto in Swift e chiamato EdoneViewer, conteneva versioni per processori Intel e Apple Silicon e il payload dannoso era crittografato utilizzando la crittografia XOR.
Esca PDF dannosa
Il downloader ha eseguito un AppleScript che scaricava un file PDF innocuo per distrarre l’utente e ha effettuato una richiesta POST per scaricare un Trojan (.pw) da un server Command and Control ( C2 ) registrato il 20 ottobre.
Il Trojan raccoglieva e inviava le seguenti informazioni sul sistema a intervalli di un minuto:
In risposta, il Trojan aspettava un comando dal server per salvare i dati, cancellarsi o continuare ad attendere.
Purtroppo al momento dell’analisi il server non aveva inviato alcun comando, il che ha reso impossibile conoscere il contenuto della fase successiva dell’attacco.
RustBucket è un toolkit sviluppato da un attore di minacce nordcoreano noto come BlueNoroff. Questa è solo una delle tante operazioni informatiche monitorate dal gruppo di hacker d’élite Lazarus Group. Il Gruppo Lazarus, a sua volta, è sotto il controllo del Reconnaissance General Bureau (RGB) della Corea del Nord, che è la principale agenzia di intelligence del paese.
È stato precedentemente riportato che il malware, compilato in Swift, è progettato per scaricare da un server C2 il malware principale, un binario basato su Rust con ampie capacità di raccolta di informazioni, nonché per ottenere ed eseguire ulteriori binari o shell Mach-O sul server o sul sistema compromesso.
RedazioneCisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...
