Aggiornamenti recenti Maggio 10th, 2024 2:00 PM
Ago 23, 2018 Giancarlo Calzetta Attacchi, In evidenza, Malware, News, Phishing, RSS 0
Lazarus Group è un gruppo di cybercriminali che si ritiene siano direttamente collegati al governo nordcoreano. In passato si sono distinti per l’attacco a Sony Films, ma in seguito sono diventati una sorta di braccio armato a caccia di fondi da devolvere alle operazioni militari (e non) della Corea del Nord.
Si sospetta che sia stata opera loro anche l’hack del sistema Swift della banca centrale del Bangladesh che fruttò oltre 80 milioni di dollari e diversi hack a cryptoexchange, quei servizi web che permettono l’acquisto, la vendita e la conservazione di criptovalute.
Secondo un report di Kaspersky, recentemente il Lazarus Group ha colpito un crytoexchange asiatico, sfruttando una tecnica davvero avanzata che prevede l’uso anche di un malware per Mac, una novità per quello che riguarda il loro modus operandi.
L’intrusione è avvenuta infettando i computer di alcuni dipendenti indotti a scaricare una applicazione all’apparenza legittima, quella che veniva indicata come un nuovo portafogli virtuale per criptovaluta.
Quando i dipendenti hanno lanciato l’eseguibile, sui sistemi Windows è stato installato Fallchill, un sistema di controllo remoto che si ritiene venga usato da Lazarus Group da oltre due anni. La stessa cosa accadeva se il file veniva scaricato e lanciato nella sua versione per OSX.
In realtà, il malware non era presente già nella prima installazione, ma veniva scaricato e reso operativo in seguito, tramite il suo modulo di aggiornamento via web.
Questa operazione è sicuramente stata condotta in maniera esemplare, scegliendo bene la tecnica da usare e le componenti software, sviluppando addirittura una versione dedicata ai Mac del malware usato, ma quello che ha sorpreso gli esperti di Kaspersky è stato il certificato usato per firmare le applicazioni.
Dalle loro indagini, è risultato valido e originale, ma non sono riusciti a trovare alcuna prova fisica dell’esistenza della software house alla quale era stato rilasciato. In altre parole, i pirati hanno creato un’azienda apposita per farsi intestare i certificati e poi hanno cancellato tutto.
Kaspersky non ha rivelato quale sia la piattaforma che ha subito la violazione, ma Bleeping Computer riporta nel suo articolo che abbiamo usato come fonte che nell’ultimo anno Bithumb, Yapizon, YouBit e Coinrail hanno tutte dichiarato di aver subito intrusioni informatiche.
Mag 09, 2024 0
Mag 07, 2024 0
Apr 29, 2024 0
Apr 24, 2024 0
Mag 10, 2024 0
Mag 10, 2024 0
Mag 09, 2024 0
Mag 08, 2024 0
Mag 10, 2024 0
A partire dallo scorso gennaio e fino a metà marzo, MITRE...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft: tra...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Mag 10, 2024 0
Microsoft ha deciso di gestire le vulnerabilità DNS...Mag 09, 2024 0
Le campagne sfruttano le vulnerabilità dei plugin di...Mag 09, 2024 0
I sistemi Linux stanno diventando sempre più popolari e...Mag 08, 2024 0
Le aziende italiane continuano a essere uno degli obiettivi...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...