Home Apple Hacker nordcoreani hanno sviluppato un virus che infetta i computer Mac

Hacker nordcoreani hanno sviluppato un virus che infetta i computer Mac

da Giovanni Correddu
Pubblicato: Aggiornato il: 0 commenti 4 minutes Leggi
A+A-
Reset

Dopo un’indagine durata più di un anno, gli analisti di Kaspersky Lab hanno individuato hacker nordcoreani estremamente attivi del gruppo Lazarus che sono penetrati con successo nei sistemi di diverse banche e in piattaforme internazionali sfruttando i sistemi di mining legati a società finanziarie. Hanno hackerato alcune criptovalute.

Già lo scorso aprile Lazarus aveva rubato ben 81 milioni di dollari da una banca del Bangladesh.

L’Analisi

Analizzando le conseguenze di uno di questi attacchi, gli analisti hanno notato che il virus si nasconde nell’aggiornamento di un’applicazione commerciale, Celas Trade Pro.

180822 applejeus 1

L’aggiornamento è stato scaricato da uno dei dipendenti dell’azienda, dopo aver ricevuto un email con le istruzioni, che specificavano quanto fosse urgente.

Il programma stesso si presenta con un comportamento abbastanza tranquillo, ma, una volta scaricato l’aggiornamento, il server è infettato dal virus FallChill, già utilizzato dai criminali informatici.

Secondo gli esperti questa è la prima volta in cui dei criminali riescono a infettare con un virus MacOS.

Vediamo più nel dettaglio che cosa succede.

Come funziona l’attacco

Un operatore riceve un email riconosciuto come inviato dall’azienda che ha in appalto l’assistenza tecnica della banca. L’email appare graficamente identico ai messaggi originali precedentemente ricevuti davvero dall’assistenza tecnica.

Il messaggio indica che è allegato un aggiornamento oppure è riportato il link da cui scaricare il file. Il file è di facile installazione, e non richiede l’intervento di un tecnico; piuttosto va fatto quanto prima, per evitare problemi.

In realtà, il file che si sta per avviare nella macchina contiene un Trojan, la cui funzione primaria consiste nel caricare una suite di malware, FallChill, aprendo una serie di backdoor. La suite infetterà tutte le macchine della rete locale, insediandosi nel server.

Da questo momento, tutti i computer infettati con FallChill potranno essere controllati da remoto e saranno considerati completamente compromessi.

L’uso di malware di questo tipo è il biglietto da visita di Lazarus. Finora gli attacchi erano stati rivolti al mondo politico, ma ora che è stato scoperto come invadere una macchina con sistemi operativi MacOS e Linux, si rivolgeranno al mondo delle banche e delle monete virtuali.

Kaspersky Lab avverte che questo “dovrebbe esser un campanello d’allarme per gli utenti di piattaforme non Windows”.

Studiando gli effetti del malware, non sembra che gli hacker interrompano il sistema di mining di Celas Trade Pro, anzi potrebbero favorirne il sistema. Non è chiaro se Celas Limited, la software house dietro il programma incriminato, sia la vera responsabile del trojan. Comunque, il suo quartier generale è un negozio di ramen con sede a Chicago.

180822 applejeus 12

Inoltre, cercando l’indirizzo di una società quotata in borsa che utilizza le firme digitali di Celas Trade Pro, si arriva a una località definita “nel mezzo del nulla”. Provate a cercare il seguente indirizzo in Google Maps: 15519 White Creek Ave NE Cedar Springs, MI 49319 USA

180822 applejeus 14

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.