Recentemente, sono stati scoperti aggiornamenti significativi al malware BeaverTail, utilizzato dalle APT nordcoreane per condurre campagne di cyber spionaggio. Questo malware è stato rilevato in un file immagine per macOS, denominato “MiroTalk.dmg”, che imita il servizio di videochiamate legittimo MiroTalk, ma serve a distribuire una variante nativa di BeaverTail.
Dettagli dell’Infezione
Il malware BeaverTail, originariamente documentato come un malware stealer JavaScript da Palo Alto Networks nel 2023, è stato ora aggiornato per includere funzionalità native per macOS. Questo aggiornamento è stato rilevato da Patrick Wardle, un ricercatore di sicurezza, che ha analizzato il file immagine “MiroTalk.dmg” non firmato.
L’infezione avviene attraverso un’app trojanizzata di nome “MiroTalk”, che una volta eseguita, tenta di esfiltrare dati sensibili dai browser web, portafogli di criptovalute e dal portachiavi di iCloud. Inoltre, è progettata per scaricare ed eseguire ulteriori script Python dal server remoto, come il backdoor InvisibleFerret.
Analisi Tecnica di MiroTalk.dmg
L’analisi statica del file immagine ha rivelato che il malware raccoglie informazioni sensibili da browser come Google Chrome, Brave e Opera, e tenta di esfiltrare questi dati al server di comando e controllo 95.164.17.24. Il malware cerca anche di scaricare ed eseguire ulteriori payload Python, come InvisibleFerret, per mantenere l’accesso remoto persistente.
Wardle ha sottolineato che, nonostante le tecniche di hacking nordcoreane si basino spesso sull’ingegneria sociale, sono comunque molto efficaci. Ha anche menzionato l’uso di strumenti open-source come BlockBlock e LuLu, che possono aiutare a bloccare queste minacce anche senza una conoscenza preliminare.
Campagne di Phishing e altre attività maligne
Il malware BeaverTail è stato distribuito in passato attraverso pacchetti npm falsi ospitati su GitHub e il registro npm, ma le ultime scoperte indicano un cambiamento nel vettore di distribuzione. Gli hacker nordcoreani hanno probabilmente invitato le vittime a partecipare a incontri di assunzione scaricando e eseguendo una versione infetta di MiroTalk ospitata su mirotalk[.]net.
Inoltre, Phylum ha recentemente scoperto un nuovo pacchetto npm malevolo denominato call-blockflow, sospettato di essere opera del gruppo Lazarus, collegato alla Corea del Nord. Questo pacchetto, quasi identico al legittimo call-bind, incorpora funzionalità per scaricare file binari remoti, eseguirli e poi coprire le tracce cancellando e rinominando i file.
Gli hacker nordcoreani continuano a rappresentare una minaccia significativa per gli utenti macOS, utilizzando tecniche sofisticate e social engineering per distribuire malware come BeaverTail. Gli utenti sono invitati a rimanere vigili e utilizzare strumenti di sicurezza adeguati per proteggere i propri sistemi.
