Si chiama Hidden Risk la nuova campagna malware scoperta dai SentinelLabs, che prende di mira gli utenti macOS. È attiva da luglio 2024 ed è caratterizzata dall’uso di email di phishing e falsi PDF con titoli di notizie accattivanti sul mondo delle criptovalute. L’obiettivo è diffondere malware finalizzato a consegnare agli attaccanti l'accesso ai dispositivi delle vittime, con la conseguente possibilità di rubare informazioni sensibili come credenziali di accesso e dati finanziari.

Gli esperti di SentinelLabs hanno analizzato nel dettaglio le dinamiche dell’attacco e reputano altamente probabile che dietro a questa campagna si nasconda il gruppo nordcoreano BlueNoroff, noto per attacchi simili in passato.

Le peculiarità di Hidden Risk

Il primo tratto distintivo di Hidden Risk è l’uso di email di phishing poco sofisticate, senza contenuti personalizzati o riferimenti specifici al lavoro o alla vita privata del destinatario, al contrario di quanto accadeva con le precedenti campagne dello stesso threat actor. Le email utilizzano nomi di mittenti reali ma appartenenti a settori non correlati e fingono di inoltrare messaggi provenienti da noti influencer dell’universo crypto. Un altro aspetto interessante è che il dominio del mittente osservato in un caso specifico, kalpadvisory[.]com, era già noto per attività di spamming nelle community online del mercato azionario indiano.

Dal punto di vista tecnico, la campagna Hidden Risk si articola in diverse fasi. Inizialmente, la vittima riceve una email con un link che sembra rimandare a un documento PDF su un argomento di interesse, come "Hidden Risk Behind New Surge of Bitcoin Price" o "Altcoin Season 2.0-The Hidden Gems to Watch". Cliccando sul link, l'utente viene reindirizzato a un sito web che ospita un'applicazione dannosa mascherata da file PDF.

L'applicazione, denominata "Hidden Risk Behind New Surge of Bitcoin Price.app", è stata progettata per ingannare l'utente: una volta avviata, scarica un PDF esca da Google Drive e lo apre utilizzando il visualizzatore PDF predefinito di macOS. Nel frattempo scarica ed esegue un file binario dannoso da un altro server, sfruttando una falla di sicurezza nelle impostazioni di macOS.

Questo secondo file binario, chiamato growth, rappresenta il vero cuore del malware: si tratta di una backdoor che consente agli attaccanti di eseguire comandi da remoto sul dispositivo infettato. Il malware raccoglie informazioni sull'ambiente del sistema, come la versione del sistema operativo, il modello del Mac e l'ora di avvio, e le invia a un server remoto. Successivamente, si mette in attesa di istruzioni dal server.

Una delle caratteristiche più preoccupanti di Hidden Risk è il suo meccanismo di persistenza, che sfrutta il file di configurazione Zshenv del sistema macOS. Tale file viene eseguito automaticamente ad ogni avvio del sistema e contiene comandi per configurare l'ambiente della shell Zsh. Il malware modifica questo file, inserendo al suo interno il comando per avviarsi automaticamente ad ogni accesso del sistema. Questa tecnica di persistenza è particolarmente efficace perché non genera alcun avviso all'utente, a differenza di altri metodi più comuni.

Infine, l'analisi dell'infrastruttura di rete utilizzata nella campagna Hidden Risk ha confermato il legame con il gruppo BlueNoroff. Gli esperti di SentinelLabs hanno infatti individuato una serie di domini e indirizzi IP utilizzati per ospitare i file dannosi e per comunicare con i dispositivi infetti. Molti di questi domini sono stati registrati utilizzando servizi di hosting poco costosi e nomi che imitano organizzazioni reali del mondo crypto e finanziario, con l'obiettivo di confondere le potenziali vittime.

Tutti i dettagli tecnici e gli Indicatori di Compromissione sono pubblicati sul blog ufficiale di SentinelOne.