I North Korean Hackers continuano a innovare le loro tattiche di attacco, questa volta utilizzando malware basato su Flutter per infiltrare dispositivi macOS. Questo nuovo metodo di attacco rappresenta una sfida significativa per la sicurezza del sistema operativo Apple, poiché gli attaccanti riescono a evadere la notarizzazione di Apple e a mascherarsi come applicazioni funzionali. In questo articolo, esploreremo la natura di questo malware, le sue caratteristiche e come le organizzazioni possano proteggersi da queste minacce.
Il Malware Flutter
Il malware in questione è stato identificato da Jamf Threat Labs e utilizza il framework di sviluppo cross-platform Flutter per embeddare il payload principale scritto in Dart. Questo approccio è particolarmente astuto perché gli attaccanti riescono a mascherarsi come applicazioni funzionali, come ad esempio un gioco di Minesweeper, rendendo difficile per gli utenti sospettare di nulla.
Caratteristiche del Malware
- Mascheramento come Applicazioni Funzionali: Il malware è stato creato per sembrare applicazioni reali, come un gioco di Minesweeper, aumentando le possibilità di inganno
- Uso di Dart e Flutter: Il payload principale è scritto in Dart e utilizza Flutter per la sua implementazione, rendendo difficile la sua identificazione
- Notarizzazione di Apple: Gli attaccanti sono riusciti a bypassare la notarizzazione di Apple utilizzando certificati falsi, come quelli del BALTIMORE JEWISH COUNCIL, INC. e FAIRBANKS CURLING CLUB INC
- Funzionalità di Esecuzione di Script: Una volta lanciato, il malware invia una richiesta di rete a un server remoto (“mbupdate.linkpc[.]net”) e esegue codice AppleScript ricevuto dal server, ma solo dopo averlo scritto all’indietro.
Distribuzione e Identificazione
Non è ancora chiaro come questi esempi di malware siano distribuiti ai vittimi, ma è probabile che siano utilizzati metodi di ingegneria sociale per convincere gli utenti a scaricare le applicazioni. Jamf ha identificato varianti del malware scritte in Go e Python, con l’ultima costruita con Py2App.
Consigli per la Protezione
Per proteggersi da questo tipo di attacchi, le organizzazioni devono adottare una serie di misure di sicurezza:
- Aggiornamenti e Patch: Assicurarsi che tutti i sistemi siano aggiornati con gli ultimi patch di sicurezza.
- Notarizzazione di Applicazioni: Verificare la notarizzazione delle applicazioni scaricate e sospettare di quelle che non sono state notarizzate da Apple.
- Antivirus e Software di Sicurezza: Utilizzare antivirus e software di sicurezza avanzati che possano identificare e bloccare il malware.
- Formazione degli Utenti: Insegnare agli utenti a riconoscere e evitare applicazioni sospette.
- Monitoraggio Continuo: Monitorare costantemente le attività del sistema per rilevare eventuali comportamenti anomali.
Il malware basato su Flutter rappresenta una minaccia significativa per la sicurezza dei dispositivi macOS. Gli attaccanti hanno dimostrato una grande astuzia nel mascherarsi come applicazioni funzionali e nel bypassare la notarizzazione di Apple. Per proteggersi da questi attacchi, le organizzazioni devono essere vigilanti e adottare una serie di misure di sicurezza avanzate. La formazione degli utenti e il monitoraggio continuo delle attività del sistema sono fondamentali per rilevare eventuali comportamenti anomali e prevenire gli attacchi.
Fonte: https://thehackernews.com/2024/11/north-korean-hackers-target-macos-using.htm
