Dopo un’indagine durata più di un anno, gli analisti di Kaspersky Lab hanno individuato hacker nordcoreani estremamente attivi del gruppo Lazarus che sono penetrati con successo nei sistemi di diverse banche e in piattaforme internazionali sfruttando i sistemi di mining legati a società finanziarie. Hanno hackerato alcune criptovalute.
Già lo scorso aprile Lazarus aveva rubato ben 81 milioni di dollari da una banca del Bangladesh.
L’Analisi
Analizzando le conseguenze di uno di questi attacchi, gli analisti hanno notato che il virus si nasconde nell’aggiornamento di un’applicazione commerciale, Celas Trade Pro.
L’aggiornamento è stato scaricato da uno dei dipendenti dell’azienda, dopo aver ricevuto un email con le istruzioni, che specificavano quanto fosse urgente.
Il programma stesso si presenta con un comportamento abbastanza tranquillo, ma, una volta scaricato l’aggiornamento, il server è infettato dal virus FallChill, già utilizzato dai criminali informatici.
Secondo gli esperti questa è la prima volta in cui dei criminali riescono a infettare con un virus MacOS.
Vediamo più nel dettaglio che cosa succede.
Come funziona l’attacco
Un operatore riceve un email riconosciuto come inviato dall’azienda che ha in appalto l’assistenza tecnica della banca. L’email appare graficamente identico ai messaggi originali precedentemente ricevuti davvero dall’assistenza tecnica.
Il messaggio indica che è allegato un aggiornamento oppure è riportato il link da cui scaricare il file. Il file è di facile installazione, e non richiede l’intervento di un tecnico; piuttosto va fatto quanto prima, per evitare problemi.
In realtà, il file che si sta per avviare nella macchina contiene un Trojan, la cui funzione primaria consiste nel caricare una suite di malware, FallChill, aprendo una serie di backdoor. La suite infetterà tutte le macchine della rete locale, insediandosi nel server.
Da questo momento, tutti i computer infettati con FallChill potranno essere controllati da remoto e saranno considerati completamente compromessi.
L’uso di malware di questo tipo è il biglietto da visita di Lazarus. Finora gli attacchi erano stati rivolti al mondo politico, ma ora che è stato scoperto come invadere una macchina con sistemi operativi MacOS e Linux, si rivolgeranno al mondo delle banche e delle monete virtuali.
Kaspersky Lab avverte che questo “dovrebbe esser un campanello d’allarme per gli utenti di piattaforme non Windows”.
Studiando gli effetti del malware, non sembra che gli hacker interrompano il sistema di mining di Celas Trade Pro, anzi potrebbero favorirne il sistema. Non è chiaro se Celas Limited, la software house dietro il programma incriminato, sia la vera responsabile del trojan. Comunque, il suo quartier generale è un negozio di ramen con sede a Chicago.
Inoltre, cercando l’indirizzo di una società quotata in borsa che utilizza le firme digitali di Celas Trade Pro, si arriva a una località definita “nel mezzo del nulla”. Provate a cercare il seguente indirizzo in Google Maps: 15519 White Creek Ave NE Cedar Springs, MI 49319 USA
