La Corea del Nord ha lanciato su Telegram un clone del wallet Mycelium infestato da virus (Somora)
Il gruppo Lazarus, noto collettivo di hacker della Corea del Nord, sta distribuendo attraverso i canali Telegram un clone dell’app Mycelium Wallet infestato da virus, allo scopo di compromettere la sicurezza dei sistemi e rubare criptovalute.
Le società SBS e Bloomberg hanno dato per prime l’allarme segnalando l’app clone, il cui nome è Somora. Nell’app è stato rilevato un software simile a un trojan nel cui codice sono stati inseriti dei “malware già utilizzati in precedenza per attaccare i traders di criptovalute in Corea del Sud e, secondo il governo degli Stati Uniti, l’origine di questi malware è da attribuirsi a Pyongyang.”
Bloomberg ha osservato che “dozzine di fornitori di sicurezza hanno già contrassegnato i file di Somora etichettandoli come dannosi”. Anche l’azienda aerospaziale britannica BAE Systems ha inviato avvisi privati ai propri clienti circa la pericolosità di Somora, e lo stesso è in procinto di fare la compagnia americana di cybersecurity Mandiant.
I ricercatori che hanno esaminato Somora hanno dichiarato che l’app è modellata interamente sul Mycelium Wallet, al punto da avvalersi perfino dello stesso slogan di Mycelium: “Be Among Smart 8%”, sottoponendolo solo a una minima variazione: “Be Among Smart 7%”.
Le società di sicurezza informatica hanno ricollegato subito l’app Somora al gruppo Lazarus, che già in precedenza era stato responsabile dell’hack alla Sony Pictures nel 2014 e degli attacchi ransomware WannaCry del 2017.
“App di crittografia nordcoreane false”: una nuova campagna?
Sempre secondo gli esperti di CyberSecurity, Somora farebbe parte della stessa campagna che ha visto il gruppo Lazarus lanciare un falso clone, denominato BloxHolder, dell’app dell’agenzia di exchange HaasOnline. Anche in questo caso, infatti, i file di installazione della suddetta app sono risultati infetti dal trojan Applejeus. La caratteristica di questo trojan è quella di raccogliere dettagli relativi agli indirizzi IP, ai nomi e ai sistemi operativi dei computer infettati. Questi dati vengono poi utilizzati dagli hacker nordcoreani per compromettere la sicurezza delle reti informatiche.
L’app Somora non è presente nei principali app store, ma i link per il download vengono inviati in forma privata ai detentori di criptovalute e ad altri utenti mediante l’app Telegram.
Gli Stati Uniti e la Corea del Sud, hanno più volte affermato che la Corea del Nord è attivamente impegnata nel furto di criptovalute ai danni di privati e aziende già da diversi anni. Washington stima che più del 30% dei capitali spesi da Pyongyang per il suo programma di sviluppo missilistico siano stati ottenuti mediante hackeraggio crittografico.
Leggi anche:
- Corea del Nord hackera 1,7 miliardi USD di criptovalute
- Chi è Eva Kaili e perché il suo arresto è un problema per le crypto?
Segui Cryptonews Italia sui canali social
