BlueNoroff: malware ObjCShellz per eseguire backdoor su Mac

Un gruppo di hacker nordcoreani noto come BlueNorOff ha lanciato una nuova campagna di malware con lo scopo attaccare gli utenti macOS. Il malware usato, chiamato ObjCShellz, è progettato per aprire shell remote sui dispositivi compromessi, per permettere ai cybercriminali di eseguire comandi a distanza. BlueNorOff è un gruppo di hacker il cui scopo è rubare denaro alle vittime. In passato ha già attaccato scambi di criptovaluta e banche in tutto il mondo. La nuova campagna malware è in linea con le precedenti attività del gruppo, che spesso utilizzano l'ingegneria sociale per indurre le vittime a cliccare su un link o aprire un allegato infetto. Questo payload dannoso (etichettato come ProcessRequest) è stato scoperto dagli analisti della società di sicurezza Jamfs. Il malware comunica con un dominio chiamato swissborg[.]blog, registrato dagli hacker lo scorso 31 maggio e ospitato su 104.168.214[.]151, ovvero un indirizzo IP che farebbe parte dell’infrastruttura BlueNorOff.

BlueNoroff: colpire i sistemi macOS per ottenere criptovalute

ObjCShellz è un malware basato su Objective-C, un linguaggio di programmazione sviluppato da Apple. Il malware è relativamente semplice, ma è comunque molto funzionale. Gli hacker possono utilizzarlo per eseguire diverse attività, come ottenere informazioni dal sistema compromesso (password, credenziali e dati sensibili), controllare il sistema infetto da remoto o distribuire altri malware. ObjCShellz viene distribuito tramite un dominio di comando e controllo (C2) che imita il sito web legittimo (swissborg.com/blog) usato per gli scambi di criptovaluta. Come riportato sul blog di Jamfs: “Gli hacker fingono di essere head hunter o investitori e contattano le vittime dichiarando voler collaborare oppure offrire loro qualcosa di vantaggioso. Per fare ciò BlueNorOff crea domini che falsi di società di criptovaluta legittimi per fondersi con l'attività della rete”. Il malware è stato anche utilizzato durante la fase post-sfruttamento per eseguire comandi sui Mac Intel e Arm infetti.

La nuova campagna di BlueNorOff rappresenta una seria minaccia per gli utenti Apple. La società di sicurezza consiglia agli utenti di proteggersi mantenendo aggiornati i sistemi operativi e le app e usando antivirus e antimalware affidabili. Jamfs ricorda infine di evitare di cliccare su link o aprire allegati e-mail provenienti da fonti sconosciute o sospette. Il rischio di infettare il sistema del proprio Mac è sempre dietro l’angolo.