Malware macOS nordcoreano sfrutta finti colloqui di lavoro per rubare credenziali
Un’analisi approfondita statica e dinamica ha portato all’individuazione di un malware per macOS denominato DriverFixer0428, classificato come ladro di credenziali e attribuito con un livello di confidenza medio-alto alla campagna nordcoreana nota come “Contagious Interview”. Il campione si presenta come una presunta utility di sistema, progettata per indurre l’utente a fidarsi dell’applicazione e a interagire con essa.
Il comportamento principale del malware consiste nella raccolta delle credenziali di accesso del sistema macOS. Per ottenere questo risultato, DriverFixer0428 utilizza finestre di dialogo artefatte che riproducono fedelmente i prompt di sicurezza del sistema operativo e le richieste di autorizzazione di Google Chrome, sfruttando tecniche di ingegneria sociale. Le credenziali inserite vengono successivamente inviate a infrastrutture controllate dagli attaccanti attraverso l’API di archiviazione cloud di Dropbox.
Il nome del campione deriva da riferimenti interni presenti nel binario analizzato. Durante l’analisi statica sono emersi identificatori come DriverFixer0428, OverlayWindowController e riferimenti a file Swift, suggerendo una struttura applicativa coerente con un progetto legittimo. Il suffisso “0428” viene interpretato come un possibile riferimento alla data di compilazione del malware, il 28 aprile, oppure a una numerazione interna di versione utilizzata dagli sviluppatori della minaccia.
Dal punto di vista tecnico, il campione analizzato corrisponde a un binario universale Mach-O, compatibile con architetture x86_64 e ARM64, scritto in Swift e basato su AppKit. Il file ha una dimensione di circa 235 KB, utilizza l’identificativo di pacchetto chrome.DriverFixer0428 ed è associato al percorso sorgente DriverFixer0428/ViewController.swift. L’hash SHA-256 del campione è 9aef4651925a752f580b7be005d91bfb1f9f5dd806c99e10b17aa2e06bf4f7b5.
L’attribuzione alla Corea del Nord si basa su una correlazione delle tecniche, tattiche e procedure con campagne già documentate pubblicamente. Sebbene l’hash specifico non risulti presente nei principali database di threat intelligence, le somiglianze operative collegano il campione alle famiglie FlexibleFerret, FrostyFerret, ChromeUpdate e CameraAccess, tutte associate alla stessa attività di minaccia. In particolare, l’infrastruttura di rete coincide con quella descritta da SentinelOne nel febbraio 2025.
Le comunicazioni di rete osservate includono il contatto con api.ipify.org per determinare l’indirizzo IP pubblico del sistema compromesso e l’utilizzo delle API di Dropbox per la gestione dei token OAuth e il caricamento dei dati esfiltrati. Questa scelta consente al malware di mascherare il traffico malevolo dietro servizi cloud legittimi, riducendo la probabilità di rilevamento da parte dei controlli di sicurezza basati sulla rete.
L’analisi dinamica condotta tramite il debugger LLDB ha evidenziato un articolato sistema di evasione delle sandbox. DriverFixer0428 esegue controlli runtime per individuare ambienti virtualizzati interrogando API di sistema come sysctlbyname, il registro IOKit e l’API NSScreen. In presenza di una macchina virtuale o di un ambiente di analisi, il malware evita di attivare il payload e rimane in uno stato di esecuzione inattivo.
Questo comportamento di “fallimento silenzioso” spiega la discrepanza tra i risultati dell’analisi statica, che indicano chiaramente attività malevole, e i punteggi relativamente bassi ottenuti nelle sandbox automatizzate, dove il campione viene classificato come probabilmente benigno. Secondo gli analisti, questa capacità operativa riflette un livello di maturità compatibile con attori sponsorizzati da uno Stato e conferma i limiti degli strumenti di rilevamento automatici nel contrasto a minacce avanzate.
L'articolo Malware macOS nordcoreano sfrutta finti colloqui di lavoro per rubare credenziali proviene da Red Hot Cyber.
