„KandyKorn“-MacOS-Malware lockt Krypto-Ingenieure

Die berüchtigte nordkoreanische Advanced Persistent Threat (APT)-Gruppe Lazarus hat eine Form von macOS-Malware namens „KandyKorn“ entwickelt, die es gegen Blockchain-Ingenieure richtet, die mit Kryptowährungsbörsen verbunden sind.

Gemäß einer Bericht von Elastic Security LabsKandyKorn verfügt über umfassende Funktionen zum Erkennen, Zugreifen und Stehlen aller Daten vom Computer des Opfers, einschließlich Kryptowährungsdiensten und -anwendungen.

Um dies zu erreichen, verfolgte Lazarus einen mehrstufigen Ansatz mit einer Python-Anwendung, die sich als Arbitrage-Bot für Kryptowährungen ausgab (ein Softwaretool, das von der Differenz der Kryptowährungskurse zwischen Kryptowährungs-Austauschplattformen profitieren kann). Die App hatte irreführende Namen, darunter „config.py“ und „pricetable.py“, und wurde über einen öffentlichen Discord-Server verbreitet.

Anschließend nutzte die Gruppe Social-Engineering-Techniken, um ihre Opfer dazu zu bewegen, ein ZIP-Archiv herunterzuladen und in ihre Entwicklungsumgebung zu entpacken, das angeblich den Bot enthielt. Tatsächlich enthielt die Datei eine vorgefertigte Python-Anwendung mit Schadcode.

Opfer des Angriffs glaubten, sie hätten einen Arbitrage-Bot installiert, doch der Start der Python-Anwendung löste die Ausführung eines mehrstufigen Malware-Flusses aus, der in der Bereitstellung des Schadtools KandyKorn gipfelte, sagten Experten von Elastic Security.

Die Infektionsroutine von KandyKorn Malware

Der Angriff beginnt mit der Ausführung von Main.py, wodurch Watcher.py importiert wird. Dieses Skript prüft die Python-Version, richtet lokale Verzeichnisse ein und ruft zwei Skripte direkt von Google Drive ab: TestSpeed.py und FinderTools.

Diese Skripte werden zum Herunterladen und Ausführen einer verschleierten Binärdatei namens Sugarloader verwendet, die dafür verantwortlich ist, den ersten Zugriff auf die Maschine zu gewähren und die letzten Phasen der Malware vorzubereiten, zu denen auch ein Tool namens Hloader gehört.

Das Bedrohungsteam konnte den gesamten Verbreitungspfad der Malware verfolgen und kam zu dem Schluss, dass KandyKorn die letzte Stufe der Ausführungskette darstellt.

KandyKorn-Prozesse stellen dann eine Kommunikation mit dem Server des Hackers her, wodurch sie sich verzweigen und im Hintergrund laufen können.

Die Malware fragt laut Analyse nicht das Gerät und die installierten Anwendungen ab, sondern wartet auf direkte Befehle der Hacker, was die Anzahl der erstellten Endpunkte und Netzwerkartefakte reduziert und somit die Möglichkeit einer Erkennung einschränkt.

Die Bedrohungsgruppe nutzte auch das reflektierende Binärladen als Verschleierungstechnik, die der Malware hilft, die meisten Erkennungsprogramme zu umgehen.

„Gegner nutzen häufig Verschleierungstechniken wie diese, um herkömmliche, auf statischen Signaturen basierende Antimalwarefunktionen zu umgehen“, heißt es in dem Bericht.

Kryptowährungsbörsen unter Beschuss

Kryptowährungsbörsen haben eine Reihe von Problemen erlitten Angriffe auf den Diebstahl privater Schlüssel im Jahr 2023, von denen die meisten der Lazarus-Gruppe zugeschrieben werden, die ihre unrechtmäßig erworbenen Gewinne zur Finanzierung des nordkoreanischen Regimes verwendet. Das FBI hat kürzlich herausgefunden, dass die Gruppe es getan hat 1,580 Bitcoins bewegt aus mehreren Kryptowährungsüberfällen, bei denen die Gelder an sechs verschiedenen Bitcoin-Adressen aufbewahrt wurden.

Im September wurden Angreifer entdeckt Zielgruppe sind 3D-Modellierer und Grafikdesigner mit bösartigen Versionen eines legitimen Windows-Installationstools in einer Kampagne zum Diebstahl von Kryptowährungen, die seit mindestens November 2021 andauert.

Einen Monat zuvor entdeckten Forscher zwei verwandte Malware-Kampagnen namens „ CherryBlos und FakeTrade, die Android-Benutzer wegen Kryptowährungsdiebstahls und anderen finanziell motivierten Betrügereien ins Visier nahm.

Wachsende Bedrohung durch DPKR

Eine beispiellose Zusammenarbeit verschiedener APTs innerhalb der Demokratischen Volksrepublik Korea (DVRK) macht es schwieriger, sie zu verfolgen, und bereitet die Bühne für aggressive, komplexe Cyberangriffe, die strategische Reaktionsbemühungen erfordern, so ein aktueller Bericht von Mandiant warnte.

Beispielsweise besitzt der Führer des Landes, Kim Jong Un, ein Schweizer Taschenmesser-APT namens Kimsuky, dessen Ranken sich weiterhin auf der ganzen Welt ausbreiten, was darauf hindeutet, dass er sich davon nicht einschüchtern lässt Forscher nähern sich. Kimsuky hat viele Iterationen und Entwicklungen durchlaufen, darunter eine regelrechte Aufspaltung in zwei Untergruppen.

Inzwischen scheint die Lazarus-Gruppe eine hinzugefügt zu haben komplexe und sich ständig weiterentwickelnde neue Hintertür zu seinem Malware-Arsenal, das erstmals bei einem erfolgreichen Cyber-Angriff auf ein spanisches Luft- und Raumfahrtunternehmen entdeckt wurde.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers