Il team di ricercatori Kaspersky sta seguendo da vicino comportamento ed evoluzione di un gruppo hacker noto come BlueNoroff.
Il collettivo, affiliato dei ben più famosi hacker nordcoreani di Lazarus, è impegnato attualmente nella diffusione di un trojan noto come RustBucket, che prende di mira gli utenti macOS. Sebbene questo agente malevolo sia già noto ai ricercatori, la sua evoluzione sta preoccupando non poco gli addetti ai lavori.
Gli hacker di BlueNoroff si sono dimostrati di un’abilità sorprendente, mostrando competenze nel contesto del reverse engineering, riuscendo letteralmente a smantellare software legittimo per poi ricostruirlo con modifiche utili ai loro scopi. Di fatto, questi cybercriminali vanno ad agire in contesti come bancomat, servizi bancari, casinò e piattaforme che trattano criptovalute.
BlueNoroff e RustBucket: cambia la strategia per diffondere il trojan
A catturare l’attenzione di Kaspersky negli ultimi giorni è stata però una sostanziale novità nella già citata campagna RustBucket. Il trojan in questione, infatti, fino a poco fa veniva diffuso attraverso un lettore di PDF.
I ricercatori, invece, hanno scoperto che BlueNoroff lavora direttamente diffondendo un archivio ZIP con un file PDF. Questo documento si presenta con il nome “Crypto-assets and their risks for financial stability” o qualcosa di molto simile.
In realtà, una volta eseguito il file, questo avvia il trojan. A questo punto, il malware agisce rubando informazioni alla macchina infetta ed inviandole agli hacker. Tra i dati sottratti figurano:
- Nome del computer
- Versione del sistema operativo
- Fuso orario
- Data di avvio del dispositivo
- Data di installazione del sistema operativo
- Ora attuale
- Elenco dei processi in esecuzione.
A seconda del caso, il trojan può procedere con l’invio di altri file, mettersi in pausa, oppure cancellarsi se l’obiettivo non rientra nei canoni decisi da BlueNoroff.
Anche se al momento la maggior parte di anti-malware e antivirus è in grado di individuare questo agente malevolo, agli utenti è consigliato sempre di mantenere la massima attenzione rispetto ad allegati e-mail sospetti.