Aggiornamenti recenti Ottobre 4th, 2024 9:00 AM
Ago 23, 2018 Giancarlo Calzetta Attacchi, In evidenza, Malware, News, Phishing, RSS 0
Lazarus Group è un gruppo di cybercriminali che si ritiene siano direttamente collegati al governo nordcoreano. In passato si sono distinti per l’attacco a Sony Films, ma in seguito sono diventati una sorta di braccio armato a caccia di fondi da devolvere alle operazioni militari (e non) della Corea del Nord.
Si sospetta che sia stata opera loro anche l’hack del sistema Swift della banca centrale del Bangladesh che fruttò oltre 80 milioni di dollari e diversi hack a cryptoexchange, quei servizi web che permettono l’acquisto, la vendita e la conservazione di criptovalute.
Secondo un report di Kaspersky, recentemente il Lazarus Group ha colpito un crytoexchange asiatico, sfruttando una tecnica davvero avanzata che prevede l’uso anche di un malware per Mac, una novità per quello che riguarda il loro modus operandi.
L’intrusione è avvenuta infettando i computer di alcuni dipendenti indotti a scaricare una applicazione all’apparenza legittima, quella che veniva indicata come un nuovo portafogli virtuale per criptovaluta.
Quando i dipendenti hanno lanciato l’eseguibile, sui sistemi Windows è stato installato Fallchill, un sistema di controllo remoto che si ritiene venga usato da Lazarus Group da oltre due anni. La stessa cosa accadeva se il file veniva scaricato e lanciato nella sua versione per OSX.
In realtà, il malware non era presente già nella prima installazione, ma veniva scaricato e reso operativo in seguito, tramite il suo modulo di aggiornamento via web.
Questa operazione è sicuramente stata condotta in maniera esemplare, scegliendo bene la tecnica da usare e le componenti software, sviluppando addirittura una versione dedicata ai Mac del malware usato, ma quello che ha sorpreso gli esperti di Kaspersky è stato il certificato usato per firmare le applicazioni.
Dalle loro indagini, è risultato valido e originale, ma non sono riusciti a trovare alcuna prova fisica dell’esistenza della software house alla quale era stato rilasciato. In altre parole, i pirati hanno creato un’azienda apposita per farsi intestare i certificati e poi hanno cancellato tutto.
Kaspersky non ha rivelato quale sia la piattaforma che ha subito la violazione, ma Bleeping Computer riporta nel suo articolo che abbiamo usato come fonte che nell’ultimo anno Bithumb, Yapizon, YouBit e Coinrail hanno tutte dichiarato di aver subito intrusioni informatiche.
Ott 02, 2024 0
Set 30, 2024 0
Set 30, 2024 0
Set 23, 2024 0
Ott 04, 2024 0
Ott 03, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Set 24, 2024 0
Negli ultimi anni gli ambienti OT sono diventati sempre...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 02, 2024 0
Tra le minacce alla sicurezza aziendale, l’errore...Ott 02, 2024 0
I ricercatori di Bitsight TRACE hanno individuato alcune...