Il gruppo di cybercriminali nordcoreani noto come BlueNoroff ha recentemente condotto un sofisticato attacco contro un dipendente di una fondazione di criptovalute, sfruttando tecniche di deepfake e social engineering tramite Zoom e Telegram per installare malware su dispositivi Apple con sistema operativo macOS. La vittima è stata contattata su Telegram da un interlocutore esterno che, fingendosi un dirigente aziendale, ha organizzato una videochiamata attraverso un falso link Calendly che reindirizzava a un dominio Zoom fasullo gestito dagli attaccanti.

Attacco tramite deepfake e social engineering

Durante la call, diversi deepfake di dirigenti aziendali e altri contatti esterni erano presenti nella riunione, convincendo la vittima della legittimità dell’incontro. Quando la persona ha segnalato problemi con il microfono, i deepfake hanno suggerito di scaricare un’estensione Zoom via Telegram, che in realtà era uno script AppleScript malevolo chiamato zoom_sdk_support.scpt. Questo script apriva una pagina Zoom autentica ma, in background, scaricava un payload aggiuntivo da un server remoto, avviando un ciclo di installazione di ulteriori malware.

Componenti del malware installato

Il malware installato comprendeva diversi componenti:

• Backdoor scritto in Nim
• Keylogger in Objective-C
• Info-stealer Go per criptovalute
• Loader C++
• Altri eseguibili

Alcuni di questi permettevano il controllo remoto, la raccolta di file legati alle criptovalute, la registrazione dei tasti e delle schermate e la trasmissione di dati a server di comando e controllo (C2). Il malware sfruttava anche tecniche per camuffare la propria presenza, come la cancellazione della cronologia dei comandi ed esigeva la password di sistema dalla vittima.

Obiettivi e tecniche del gruppo BlueNoroff

BlueNoroff, parte del più ampio Lazarus Group, è tristemente famoso per attacchi mirati a istituzioni finanziarie e aziende blockchain, con l’obiettivo di sottrarre criptovalute e generare fondi per il regime nordcoreano. Il gruppo utilizza frequentemente tecniche di social engineering, deepfake e siti web fasulli per ingannare i dipendenti e indurli a compromettere le proprie postazioni di lavoro.

Sofisticazione delle campagne e raccomandazioni

La campagna evidenzia la crescente sofisticazione degli attacchi contro il settore crypto e la necessità di una formazione continua per i dipendenti sulle minacce di social engineering, soprattutto nel contesto del lavoro remoto. I metodi evolvono costantemente, includendo finti annunci di lavoro e test di assunzione che inducono le vittime a eseguire comandi dannosi, spesso con malware multipiattaforma come GolangGhost e PylangGhost, progettati sia per macOS che per Windows. Le aziende devono quindi rafforzare la sicurezza dei processi di comunicazione digitale, monitorare le anomalie nei comportamenti degli utenti e adottare strumenti di difesa avanzati contro queste minacce evolute.