OSX / NukeSped

Il gruppo di hacking più prolifico della Corea del Nord è senza dubbio il Lazarus APT (Advanced Persistent Threat). Gli esperti di sicurezza ritengono che questo gruppo di hacker sia sponsorizzato direttamente dai governanti nordcoreani e sia probabilmente pagato per fare le offerte di Kim Jong-un. Tra il loro vasto arsenale di strumenti di hacking vi è il NukeSped RAT (Remote Access Trojan). Finora il NukeSped RAT è stato progettato per colpire solo i dispositivi che eseguono Windows. Tuttavia, sembrerebbe che il gruppo di hacker di Lazarus abbia deciso di ampliare la propria portata e di aver riprogettato il RAT NukeSped permettendo alla minaccia di colpire anche i sistemi Mac. Il nome della nuova variante NukeSped RAT è OSX / NukeSped.

Metodi di propagazione

I ricercatori di malware hanno individuato due metodi di propagazione impiegati dal gruppo di hacking Lazarus:

• Un file Adobe Flash fasullo che trasporta una copia autentica dell'applicazione insieme a un modulo danneggiato destinato a infettare il sistema di destinazione. Quando gli utenti eseguono il file, verrà loro presentata una presentazione che ha lo scopo di distrarli mentre il malware viene eseguito in background.
• Email di spam contenenti un allegato macro-allacciato compromesso. Il file allegato ha la forma di un documento ed è pensato per sembrare un test psicologico sudcoreano.

Per ora, sembra che gli autori del malware OSX / NukeSped facciano più affidamento sul primo metodo, poiché si tratta dell'ultimo vettore di infezione che hanno utilizzato.

funzionalità

Al momento dell'infezione dell'host di destinazione, la minaccia OSX / NukeSped assicurerà la persistenza sul sistema in modo che la minaccia venga eseguita ogni volta che gli utenti scelgono di riavviare il Mac. Successivamente, il malware OSX / NukeSped si assicurerà di stabilire una connessione con il server C&C (Command & Control) degli aggressori il cui indirizzo è archiviato nel file di configurazione della minaccia. Dopo la connessione con il server C&C, la minaccia OSX / NukeSped sarà in grado di:

• Uccidi i processi.
• Esegui comandi remoti.
• Raccogliere dati relativi alla configurazione, al software e all'hardware del sistema.
• Scarica i file dagli URL specificati ed eseguili.
• Carica i file ed eseguili.
• Controlla la sua configurazione.
• Auto-aggiornamento.
• Terminare la connessione al server C&C per una certa durata.

Il gruppo di hacking di Lazarus è un attore di minacce che dovrebbe essere preso sul serio. È da notare che hanno deciso di iniziare a colpire macchine che eseguono OSX, troppo certamente, poiché ciò espande significativamente la loro portata. Assicurati che il tuo sistema sia protetto da un'applicazione anti-malware affidabile e non dimenticare di applicare regolarmente gli aggiornamenti appropriati.