Gli hacker nordcoreani prendono di mira le criptovalute con malware per Mac

La società di cybersecurity Huntress ha scoperto una campagna di hacking altamente sofisticata che prende di mira gli utenti Mac nel settore delle criptovalute, utilizzando chiamate Zoom deepfake, ingegneria sociale astuta e malware specifico per Mac in un’operazione insolitamente sofisticata.

Huntress ha iniziato a indagare sull’intrusione l’11 giugno 2025, dopo che un partner ha segnalato attività sospette. L’attacco è stato infine attribuito al gruppo di hacker nordcoreano BlueNoroff (noto anche come Sapphire Sleet o TA444), che ha preso di mira il settore delle criptovalute con campagne finanziariamente motivate almeno dal 2017.

Gli hacker prendono di mira specificamente gli utenti macOS utilizzando la tecnologia deepfake per impersonare dirigenti aziendali in falsi incontri Zoom per rubare criptovalute.

Come Funziona la Truffa

Tutto è iniziato quando un dipendente (obiettivo) di una fondazione per criptovalute ha ricevuto un messaggio apparentemente innocuo da un contatto esterno su Telegram che richiedeva un incontro. L’attaccante ha condiviso un link Calendly che sembrava programmare una chiamata Google Meet, ma cliccando su di esso l’utente è stato reindirizzato a un dominio Zoom falso controllato dall’attore della minaccia.

Dopo alcune settimane, il dipendente ha partecipato a un “incontro Zoom” popolato da deepfake che imitavano la leadership senior all’interno della loro azienda, insieme a contatti esterni. Durante l’incontro, il dipendente non è stato in grado di utilizzare il proprio microfono e i deepfake gli hanno istruito di scaricare un “estensione Zoom”. Il link a questa estensione inviato loro tramite Telegram si è rivelato essere un file AppleScript malevolo (zoom_sdk_support.scpt) travestito da strumento di risoluzione dei problemi.

Una volta scaricato, l’AppleScript ha prima aperto una pagina web legittima per gli SDK di Zoom, ma dopo oltre 10.500 righe vuote, ha scaricato un payload da un sito web malevolo, https[://]support[.]us05web-zoom[.]biz, ed eseguito.

Quando Huntress ha iniziato la propria indagine, il payload finale era già stato rimosso dal server dell’attaccante. Tuttavia, sono stati in grado di trovare una versione su VirusTotal che ha offerto preziose informazioni su cosa fosse progettato per fare il malware.

“Lo script inizia disabilitando la registrazione della cronologia bash e poi controlla se Rosetta 2, che consente ai Mac con Apple Silicon di eseguire binari x86_64, è installato,” hanno spiegato i ricercatori di Huntress in un post sul blog mercoledì.

“Se non è installato, lo installa silenziosamente per garantire che i payload x86_64 possano essere eseguiti. Crea quindi un file chiamato .pwd, che è nascosto dalla vista dell’utente a causa del punto che lo precede, e scarica il payload dalla pagina Zoom falsa e malevola in /tmp/icloud_helper.”

Un Malware Personalizzato e Specifico per Mac

A differenza del malware standard pronto all’uso, questo attacco ha coinvolto un toolkit costruito su misura con almeno otto componenti separati, tutti specificamente progettati per macOS. Erano:

• Telegram 2: Il binario persistente, scritto in Nim, responsabile dell’avvio della backdoor principale.
• Root Troy V4 (remoted): Una backdoor completa scritta in Go, capace di scaricare ed eseguire altri strumenti malevoli.
• InjectWithDyld (“a”): Un caricatore binario C++ scaricato da Root Troy V4, responsabile della decrittazione e del caricamento di due impianti aggiuntivi.
• Base App: Un’applicazione Swift apparentemente innocua che funge da obiettivo di iniezione per codice malevolo.
• Payload: Un impianto diverso scritto in Nim, progettato per eseguire comandi sul sistema infetto.
• XScreen (keyboardd): Un potente keylogger scritto in Objective-C, capace di catturare sequenze di tasti, contenuti degli appunti e attività dello schermo.
• CryptoBot (airmond): Uno strumento basato su Go progettato per raccogliere file relativi alle criptovalute dalla macchina della vittima.
• NetChk: Un binario di distrazione senza funzione significativa, che genererà numeri casuali per sempre, probabilmente incluso per offuscamento o depistaggio.

È notevole che il malware utilizzasse trucchi astuti per evitare il rilevamento, come l’esecuzione di comandi solo quando il display del Mac era in modalità di sospensione. È stato accuratamente progettato per bypassare i livelli di sicurezza di macOS utilizzando AppleScript e iniezione di processo.

Chiamata di Avviso per gli Utenti macOS

Storicamente, macOS è stato visto come un sistema operativo più sicuro, ma questa percezione è sempre più obsoleta. Man mano che più aziende adottano i Mac e il lavoro remoto diventa standard, gli attaccanti si stanno adattando rapidamente.

“Negli ultimi anni, abbiamo visto macOS diventare un obiettivo sempre più grande per gli attori della minaccia, specialmente per quanto riguarda attaccanti altamente sofisticati e sponsorizzati dallo stato,” hanno notato i ricercatori di Huntress. “Poiché questi attacchi e la frequenza con cui si verificano continuano ad aumentare, sarà sempre più importante proteggere i propri Mac.”

Questa campagna rende chiaro una cosa: quando gruppi sostenuti dallo stato come BlueNoroff sono coinvolti, anche una videochiamata non è sempre ciò che sembra.