Aggiornamenti recenti Luglio 15th, 2025 3:23 PM
Dic 04, 2023 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0
I gruppi di cyberattaccanti nord-coreani dietro campagne come RustBucket e KandyKorn sono tornati azione unendo diverse componenti di queste operazioni per sferrare nuovi attacchi: a dirlo sono i ricercatori di SentinelOne, i quali hanno individuato casi in cui il dropper SwiftLoader è stato usato per distribuire i payload di KandyKorn.
“La nostra analisi sulle attività di queste campagne suggerisce che i cybercriminali nord-coreani stiano mischiando le componenti delle campagne, con i dropper SwiftLoader usati per distribuire i payload di KandyKorn” scrive il team di sicurezza.
KandyKorn è un malware che prende di mira gli utenti del mondo delle criptovalute, in grado di ottenere i dati sensibili dai computer compromessi. I cybercriminali usano tecniche di social engineering tramite Discord per convincere gli utenti a scaricare applicazioni Python malevole che all’apparenza si presenza come bot arbitrage di criptovalute, ovvero bot utilizzati per analizzare l’andamento del mercato.
Grazie a un processo articolato in cinque fasi, le applicazioni scaricano il payload di KandyKorn e consentono ai cybercriminali l’accesso al dispositivo della vittima e alle informazioni dell’utente.
Pixabay
Di recente il team di SentinelOne ha identificato alcune connessioni tra KandyKorn e RustBucket, campagna legata a Lazarus, in particolare per quanto riguarda l’uso di una serie di applicazioni Swift-based della seconda operazione volte a scaricare payload malevoli, soprannominate collettivamente “SwiftLoader”.
Utilizzate inizialmente per distribuire un malware scritto in Rust, alcune versioni di queste applicazioni sono state utilizzate per distribuire KandyKorn. Molte di esse venivano pubblicate sullo store Apple sotto il nome “InternalPDF Viewer”.
“La nostra analisi conferma le scoperte di altri ricercatori secondo cui la tendenza degli attori delle minacce legati alla Corea del Nord a riutilizzare infrastrutture condivise ci offre l’opportunità di ampliare la comprensione della loro attività e di scoprire nuovi indicatori di compromissione” affermano i ricercatori di SentinelOne.
Feb 26, 2025 0
Feb 24, 2025 0
Dic 23, 2024 0
Dic 17, 2024 0
Lug 15, 2025 0
Lug 14, 2025 0
Lug 14, 2025 0
Lug 11, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 15, 2025 0
Nuova minaccia per le GPU: secondo un recente comunicato...Lug 14, 2025 0
I ricercatori di AG Security Research hanno individuato una...Lug 14, 2025 0
Nel corso di questa settimana, il CERT-AGID ha individuato...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Una grave falla di sicurezza ha trasformato una sessione...