Le tecniche di attacco usate dai cybercriminali esperti spesso sono così sofisticate che persino i professionisti della sicurezza hanno difficoltà a smascherarle. Un po’ di tempo fa, i nostri esperti hanno scoperto una nuova campagna ad opera del gruppo nordcoreano Lazarus, noto per i suoi attacchi alla Sony Pictures e a diverse istituzioni finanziarie (ricordiamo il furto da 81 milioni di dollari ai danni della Banca Centrale della Repubblica Popolare del Bangladesh).
In questo caso in particolare, i cybercriminali hanno deciso di riempirsi le tasche di criptomonete. Per arrivare ai portafogli delle vittime, hanno fatto in modo che un malware si insidiasse nelle reti aziendali di alcuni sistemi di cambio di criptomonete. I cybercriminali si sono affidati al fattore umano e hanno ricevuto la loro ricompensa.
Applicazione di trading dall’aggiornamento dannoso
Per penetrare nella rete, i cybercriminali hanno fatto la loro prima mossa con un’e-mail. Almeno uno dei dipendenti del servizio di cambio di criptomonete riceve un’e-mail in cui si invita a installare un’app di trading chiamata Celas Trade Pro di Celas Limited; un programma che, considerando il profilo dell’azienda, potrebbe interessare al dipendente.
Il messaggio comprende un link al sito ufficiale dello sviluppatore: tutto sembra in ordine, il sito ha persino un certificato SSL emesso da Comodo CA, centro piuttosto rinomato.
Celas Trade Pro è disponibile per il download in due versioni, una per Windows e una per Mac e in cantiere c’è anche una versione per Linux.
L’app di trading dispone anche di un certificato digitale valido (un’altra caratteristica che rafforza la sua autorevolezza) e nel codice non sono presenti componenti dannosi.
Una volta installata con successo sul computer del dipendente, Celias Trade Pro avvia un aggiornamento. Per fare ciò deve contattare il server della casa produttrice, e fin qui niente di sospetto. Tuttavia, invece di un aggiornamento, il dispositivo installa un Trojan backdoor.
Fallchill, un malware davvero pericoloso
La backdoor è un'”entrata di servizio” virtuale che i cybercriminali sfruttano per penetrare in un sistema. La maggior parte degli attacchi perpetrati a servizi di cambio si sono serviti di Fallchill e, tra gli altri segnali, la sua presenza costituisce una prova evidente che porta ai diretti responsabili: il gruppo Lazarus, infatti, ha utilizzato varie volte questa backdoor in passato che consente di ottenere il controllo quasi totale del dispositivo infetto. Ecco altre importanti caratteristiche:
- Ricerca, legge e carica file al server command (lo stesso che il software di trading utilizza per scaricare i suoi aggiornamenti);
- Registra dati su un file particolare (ad esempio, un qualsiasi file .exe oppure un ordine di pagamento);
- Cancella file;
- Scarica ed esegue tool aggiuntivi.
Uno sguardo al programma infetto e ai suoi creatori
Come abbiamo già accennato, durante quasi tutte le fasi dell’attacco sia il software di trading sia la casa produttrice sembrano affidabili, almeno fino a quando non viene la backdoor. Tuttavia, a un’analisi più attenta, emergono alcuni dettagli sospetti.
Tanto per cominciare, il loader per l’aggiornamento invia informazioni sul dispositivo a un server sotto forma di un file camuffato in un’immagine GIF e lo stesso metodo viene utilizzato per ricevere i comandi da eseguire. Di solito un software di una certa reputazione non scambia immagini durante gli aggiornamenti.
Per quanto riguarda il sito Internet, analizzandolo più attentamente si è visto che il certificato di dominio è di basso livello e conferma soltanto che il dominio appartenete a un’entità dal nome Celas Limited. Non sono presenti informazioni sull’azienda o sul suo proprietario (per ottenere certificati più avanzati bisogna fornire questi dati). I nostri analisti hanno utilizzato Google Maps per verificare l’indirizzo fornito per registrare il dominio e hanno scoperto che lì si trova solamente un bungalow che ospita un ristorante di ramen.
Sembra improbabile che i proprietari di un piccolo ristorante si dedichino a programmare nel loro tempo libero; la deduzione più logica è che si tratti di un indirizzo falso. Ciononostante, gli analisti hanno verificato se l’altro indirizzo specificato nel certificato digitale di Celas Trading Pro corrisponda, e il campo è risultato vuoto.
Inoltre, sembra che l’azienda, per ottenere il dominio, abbia pagato in bitcoin e, si sa, si preferiscono le criptomonete quando si ha bisogno di mantenere l’anonimato.
Tuttavia, non possiamo essere certi che l’azienda abbia agito di proposito o se è essa stessa vittima dei cybercriminali. Gli hacker nordcoreani già varie volte hanno compromesso la sicurezza di enti legittimi con lo scopo di attaccare i loro partner o i loro clienti.
Per maggiori informazioni sulla campagna APT Lazarus, potete leggere il report completo su Securelist.
Cosa possiamo imparare dal caso Lazarus
Da questa storia si può evincere che, quando ci sono in gioco ingenti somme di denaro, è molto difficile risalire alla fonte della minaccia. Il mercato delle criptomonete sta acquisendo una popolarità sempre maggiore, e ciò attira l’attenzione di scammer di ogni tipo, da sviluppatori di miner a gruppi criminali ben organizzati attivi in tutto il mondo.
È ancor più interessante che l’attacco abbia come obiettivo un pubblico piuttosto ampio, non parliamo solo di utenti Windows ma anche di computer macOs, che non sono quindi immuni a questi attacchi, a differenza di quanto si possa pensare. Anche gli utenti di Apple devono quindi avvalersi di una protezione affidabile.