Malware macOS nordcoreano sfrutta finti colloqui di lavoro per rubare credenziali

Un’analisi approfondita statica e dinamica ha portato all’individuazione di un malware per macOS denominato DriverFixer0428, classificato come ladro di credenziali e attribuito con un livello di confidenza medio-alto alla campagna nordcoreana nota come “Contagious Interview”. Il campione si presenta come una presunta utility di sistema, progettata per indurre l’utente a fidarsi dell’applicazione e a interagire con essa.

Il comportamento principale del malware consiste nella raccolta delle credenziali di accesso del sistema macOS. Per ottenere questo risultato, DriverFixer0428 utilizza finestre di dialogo artefatte che riproducono fedelmente i prompt di sicurezza del sistema operativo e le richieste di autorizzazione di Google Chrome, sfruttando tecniche di ingegneria sociale. Le credenziali inserite vengono successivamente inviate a infrastrutture controllate dagli attaccanti attraverso l’API di archiviazione cloud di Dropbox.

Il nome del campione deriva da riferimenti interni presenti nel binario analizzato. Durante l’analisi statica sono emersi identificatori come DriverFixer0428, OverlayWindowController e riferimenti a file Swift, suggerendo una struttura applicativa coerente con un progetto legittimo. Il suffisso “0428” viene interpretato come un possibile riferimento alla data di compilazione del malware, il 28 aprile, oppure a una numerazione interna di versione utilizzata dagli sviluppatori della minaccia.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Dal punto di vista tecnico, il campione analizzato corrisponde a un binario universale Mach-O, compatibile con architetture x86_64 e ARM64, scritto in Swift e basato su AppKit. Il file ha una dimensione di circa 235 KB, utilizza l’identificativo di pacchetto chrome.DriverFixer0428 ed è associato al percorso sorgente DriverFixer0428/ViewController.swift. L’hash SHA-256 del campione è 9aef4651925a752f580b7be005d91bfb1f9f5dd806c99e10b17aa2e06bf4f7b5.

L’attribuzione alla Corea del Nord si basa su una correlazione delle tecniche, tattiche e procedure con campagne già documentate pubblicamente. Sebbene l’hash specifico non risulti presente nei principali database di threat intelligence, le somiglianze operative collegano il campione alle famiglie FlexibleFerret, FrostyFerret, ChromeUpdate e CameraAccess, tutte associate alla stessa attività di minaccia. In particolare, l’infrastruttura di rete coincide con quella descritta da SentinelOne nel febbraio 2025.

Le comunicazioni di rete osservate includono il contatto con api.ipify.org per determinare l’indirizzo IP pubblico del sistema compromesso e l’utilizzo delle API di Dropbox per la gestione dei token OAuth e il caricamento dei dati esfiltrati. Questa scelta consente al malware di mascherare il traffico malevolo dietro servizi cloud legittimi, riducendo la probabilità di rilevamento da parte dei controlli di sicurezza basati sulla rete.

L’analisi dinamica condotta tramite il debugger LLDB ha evidenziato un articolato sistema di evasione delle sandbox. DriverFixer0428 esegue controlli runtime per individuare ambienti virtualizzati interrogando API di sistema come sysctlbyname, il registro IOKit e l’API NSScreen. In presenza di una macchina virtuale o di un ambiente di analisi, il malware evita di attivare il payload e rimane in uno stato di esecuzione inattivo.

Questo comportamento di “fallimento silenzioso” spiega la discrepanza tra i risultati dell’analisi statica, che indicano chiaramente attività malevole, e i punteggi relativamente bassi ottenuti nelle sandbox automatizzate, dove il campione viene classificato come probabilmente benigno. Secondo gli analisti, questa capacità operativa riflette un livello di maturità compatibile con attori sponsorizzati da uno Stato e conferma i limiti degli strumenti di rilevamento automatici nel contrasto a minacce avanzate.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.