I ricercatori di sicurezza hanno scoperto una nuova variante del malware ObjCShellz, attribuito al gruppo BlueNoroff. Questo agente malevolo e già noto per diverse campagne che hanno preso di mira il settore finanziario, dimostrando una certa predilezione per quanto concerne gli scambi di criptovalute e gli istituti bancari.
La nuova versione del malware, individuata da Jamf Threat Labs, è frutto dell’individuazione di un file universal binary, dunque attivo in ambiente macOS, che comunicava con un dominio dannoso fino a quel momento sconosciuto.
Il file binario in questione, denominato ProcessRequest, ha attirato l’attenzione degli esperti in quanto il dominio ad esso collegato risultava simile ad altri in precedenza coinvolti in varie campagne malware.
Il ricercatore di Jamf Ferdous Saljooki ha affermato che l’attività individuata è in linea con la campagna Rustbucket, attribuita allo stesso gruppo di hacker nordcoreani dietro a ObjCShellz. In questo contesto il gruppo APT si finge un investitore o una figure simile per far abbassare la guardia alle potenziali vittime.
ObjCShellz: come si diffonde questo temibile malware?
Il dominio dannoso è stato registrato nel maggio 2023 e collegato a un indirizzo IP specifico. Sebbene vari URL fossero utilizzati per la comunicazione di malware, il server di comando e controllo (C2) non rispondeva e alla fine andava offline dopo l’analisi.
Nella documentazione di classificazione, Saljooki ha spiegato che il malware è scritto in Objective-C e funziona come una semplice shell remota, eseguendo i comandi shell inviati dal server dell’aggressore.
Il malware comunica con il server C2 utilizzando un messaggio POST a un URL specifico, raccogliendo informazioni sul sistema macOS infetto e creando uno user-agent per la comunicazione.
Degna di nota è la capacità del malware ObjCShellz di eseguire comandi, poiché consente all’aggressore di avere il controllo remoto totale sui sistemi compromessi.
Per Saljooki “Anche se abbastanza semplice, questo malware è comunque molto funzionale e aiuterà gli aggressori a raggiungere i loro obiettivi. Questo sembra essere un tema legato all’ultimo malware che abbiamo visto provenire da questo gruppo APT“.
Lo stesso ricercatore ha poi chiarito come “Sulla base degli attacchi precedenti eseguiti da BlueNoroff, sospettiamo che questo malware fosse una fase avanzata di un malware a più fasi distribuito tramite tecniche di social engineering“.