Descrizione
CSIRT Umbria, nell’esercizio delle sue funzioni, è venuto a conoscenza di campagne di attacco condotte attraverso false riunioni su Zoom e Microsoft Teams.
Ecco i dettagli principali dell'operazione:
- Oggetto della minaccia: Campagne di social engineering condotte dal gruppo nordcoreano Lazarus che utilizzano false riunioni su Zoom e Microsoft Teams per distribuire malware.
- Periodo rilevato: Gli attacchi sono stati identificati tra il 6 febbraio e il 7 aprile 2026.
- Vettore di attacco:
- Gli aggressori utilizzano account già compromessi di persone conosciute dalla vittima (colleghi o partner) per riprendere conversazioni passate.
- Viene proposto un incontro tramite Calendly e inviato un link a una falsa riunione su domini che imitano quelli originali.
- Modalità di infezione: Durante la finta chiamata, l'utente viene indotto a scaricare un file AppleScript o a eseguire comandi nel terminale con il pretesto di risolvere problemi audio.
- Caratteristiche del payload:
- Il codice è offuscato per nascondere la comunicazione verso l'infrastruttura di comando e controllo (C2).
- Il malware assegna un UUID univoco alla macchina, effettua una ricognizione del sistema e stabilisce la persistenza.
- Il beaconing verso il server C2 avviene ogni 60 secondi circa.
- Capacità del malware: Il payload può rubare password dai browser, seed phrase di wallet crypto, chiavi API, token di Telegram, credenziali da password manager (come 1Password o Bitwarden), chiavi SSH e credenziali cloud, oltre a eseguire keylogging.
Indicazioni di Sicurezza: si consiglia cautela ed attenzione per tutti i messaggi riconducibili al contesto descritto e si raccomanda di limitare la divulgazione di queste informazioni esclusivamente alla Constituency di codesto CSIRT.
