EdoneViewer: il malware di Lazarus che prende di mira gli utenti macOS

Kaspersky Lab ha scoperto una nuova variante di un downloader dannoso per macOS, presumibilmente associato al gruppo APT BlueNoroff e alla sua campagna RustBucket. Il gruppo si rivolge alle istituzioni finanziarie e agli utenti associati alle criptovalute.

Il downloader era mascherato da file PDF in un archivio ZIP creato il 21 ottobre 2023. 

Al momento del ritrovamento il bootloader aveva una firma legittima, ma ora il certificato è stato revocato. Non è noto come sia stato distribuito esattamente l’archivio. Forse gli aggressori lo hanno inviato alle vittime tramite posta, come nelle loro campagne precedenti.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’eseguibile, scritto in Swift e chiamato EdoneViewer, conteneva versioni per processori Intel e Apple Silicon e il payload dannoso era crittografato utilizzando la crittografia XOR.

Esca PDF dannosa

Il downloader ha eseguito un AppleScript che scaricava un file PDF innocuo per distrarre l’utente e ha effettuato una richiesta POST per scaricare un Trojan (.pw) da un server Command and Control ( C2 ) registrato il 20 ottobre. 

Il Trojan raccoglieva e inviava le seguenti informazioni sul sistema a intervalli di un minuto:

• nome del computer;
• versione del sistema operativo;
• fuso orario del dispositivo;
• data di avvio del dispositivo;
• data di installazione del sistema operativo;
• ora attuale;
• un elenco dei processi in esecuzione sul sistema.

In risposta, il Trojan aspettava un comando dal server per salvare i dati, cancellarsi o continuare ad attendere. 

Purtroppo al momento dell’analisi il server non aveva inviato alcun comando, il che ha reso impossibile conoscere il contenuto della fase successiva dell’attacco.

RustBucket è un toolkit sviluppato da un attore di minacce nordcoreano noto come BlueNoroff. Questa è solo una delle tante operazioni informatiche monitorate dal gruppo di hacker d’élite Lazarus Group. Il Gruppo Lazarus, a sua volta, è sotto il controllo del Reconnaissance General Bureau (RGB) della Corea del Nord, che è la principale agenzia di intelligence del paese.

È stato precedentemente riportato che il malware, compilato in Swift, è progettato per scaricare da un server C2 il malware principale, un binario basato su Rust con ampie capacità di raccolta di informazioni, nonché per ottenere ed eseguire ulteriori binari o shell Mach-O sul server o sul sistema compromesso.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.