El infame grupo de amenaza persistente avanzada (APT) de Corea del Norte Lázaro ha desarrollado una forma de malware para macOS llamada "KandyKorn", que utiliza para atacar a los ingenieros de blockchain conectados a los intercambios de criptomonedas.
De acuerdo a una informe de los laboratorios de seguridad elástica, KandyKorn tiene un conjunto completo de capacidades para detectar, acceder y robar cualquier dato de la computadora de la víctima, incluidos servicios y aplicaciones de criptomonedas.
Para lograrlo, Lazarus adoptó un enfoque de varias etapas que involucraba una aplicación Python que se hacía pasar por un robot de arbitraje de criptomonedas (una herramienta de software capaz de beneficiarse de la diferencia en las tasas de criptomonedas entre plataformas de intercambio de criptomonedas). La aplicación presentaba nombres engañosos, incluidos “config.py” y “pricetable.py”, y se distribuía a través de un servidor público de Discord.
Luego, el grupo empleó técnicas de ingeniería social para alentar a sus víctimas a descargar y descomprimir un archivo zip en sus entornos de desarrollo, que supuestamente contenía el bot. En realidad, el archivo contenía una aplicación Python prediseñada con código malicioso.
Las víctimas del ataque creyeron que habían instalado un bot de arbitraje, pero al iniciar la aplicación Python se inició la ejecución de un flujo de malware de varios pasos que culminó con el despliegue de la herramienta maliciosa KandyKorn, dijeron los expertos de Elastic Security.
Rutina de infección del malware KandyKorn
El ataque comienza con la ejecución de Main.py, que importa Watcher.py. Este script verifica la versión de Python, configura directorios locales y recupera dos scripts directamente desde Google Drive: TestSpeed.py y FinderTools.
Estos scripts se utilizan para descargar y ejecutar un binario ofuscado llamado Sugarloader, responsable de dar acceso inicial a la máquina y preparar las etapas finales del malware, que también involucran una herramienta llamada Hloader.
El equipo de amenazas pudo rastrear toda la ruta de implementación del malware y llegó a la conclusión de que KandyKorn es la etapa final de la cadena de ejecución.
Los procesos de KandyKorn luego establecen comunicación con el servidor de los piratas informáticos, lo que le permite ramificarse y ejecutarse en segundo plano.
El malware no sondea el dispositivo ni las aplicaciones instaladas, sino que espera comandos directos de los piratas informáticos, según el análisis, lo que reduce la cantidad de puntos finales y artefactos de red creados, limitando así la posibilidad de detección.
El grupo de amenazas también utilizó la carga binaria reflectante como técnica de ofuscación, lo que ayuda al malware a eludir la mayoría de los programas de detección.
"Los adversarios suelen utilizar técnicas de ofuscación como ésta para eludir las capacidades antimalware tradicionales basadas en firmas estáticas", señala el informe.
Intercambios de criptomonedas bajo fuego
Los intercambios de criptomonedas han sufrido una serie de Ataques de robo de claves privadas en 2023, la mayoría de los cuales se han atribuido al grupo Lazarus, que utiliza sus ganancias mal habidas para financiar al régimen norcoreano. El FBI descubrió recientemente que el grupo había movió 1,580 bitcoins de múltiples atracos de criptomonedas, manteniendo los fondos en seis direcciones de bitcoin diferentes.
En septiembre, los atacantes fueron descubiertos. Dirigido a modeladores 3D y diseñadores gráficos. con versiones maliciosas de una herramienta de instalación legítima de Windows en una campaña de robo de criptomonedas que ha estado en curso desde al menos noviembre de 2021.
Un mes antes, los investigadores descubrieron dos campañas de malware relacionadas, denominadas CherryBlos y FakeTrade, que apuntaba a usuarios de Android para robar criptomonedas y otras estafas con motivos financieros.
La creciente amenaza de la RPDC
Según un informe reciente de Mandiant advirtió.
Por ejemplo, el líder del país, Kim Jong Un, tiene una navaja suiza APT llamada Kimsuky, que continúa extendiendo sus zarcillos por todo el mundo, lo que indica que no se deja intimidar por la investigadores acercándose. Kimsuky ha pasado por muchas iteraciones y evoluciones, incluyendo una división total en dos subgrupos.
Mientras tanto, el grupo de Lázaro parece haber añadido una Nueva puerta trasera compleja y aún en evolución. a su arsenal de malware, detectado por primera vez en un ciberataque exitoso de una empresa aeroespacial española.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :posee
- :es
- :no
- $ UP
- 1
- 2021
- 3d
- 7
- a
- Poder
- de la máquina
- Conforme
- adicional
- direcciones
- avanzado
- Aeroespacial
- agresivo
- Permitir
- también
- an
- análisis
- y
- android
- cualquier
- applicación
- aparece
- Aplicación
- aplicaciones
- enfoque
- APT
- arbitraje
- Archive
- somos
- Ejército
- en torno a
- Arsenal
- AS
- At
- atacar
- ataques
- fondo
- esto
- creído
- entre
- Bitcoin
- blockchain
- Bot
- Rama
- pero
- by
- , que son
- Campaña
- Campañas
- capacidades
- capaz
- cadena
- Cheques
- cierre
- código
- colaboración
- comúnmente
- Comunicación
- compañía
- integraciones
- compromiso
- computadora
- conclusión
- conectado
- contenida
- continúa
- país
- creado
- cripto
- criptomoneda
- Intercambio de criptomonedas
- Intercambios de criptomonedas
- culminante
- ciber
- Ataques ciberneticos
- datos
- entregamos
- Demanda
- democrático
- despliegue
- detectar
- Detección
- desarrollado
- Desarrollo
- dispositivo
- un cambio
- una experiencia diferente
- de reservas
- directamente
- directorios
- discord
- descubierto CRISPR
- distribuidos
- sí
- descargar
- dprk
- dibujo
- el lado de la transmisión
- doblado
- esfuerzos
- empleado
- fomentar
- Ingeniería
- certificados
- Todo
- ambientes
- establecer
- evoluciones
- evolución
- Intercambio
- Cambios
- ejecutar
- ejecución
- expertos
- FBI
- destacado
- Archive
- final
- etapas finales
- financialmente
- Nombre
- de tus señales
- formulario
- encontrado
- Desde
- fondo
- fondos
- Ganancias
- Diezmos y Ofrendas
- pasado
- Gráfico
- Grupo procesos
- los piratas informáticos
- tenido
- más fuerte
- Tienen
- ayuda
- tenencia
- HTTPS
- importaciones
- in
- Incluye
- infame
- inicial
- iniciado
- instalado
- ejemplo
- dentro
- involucrar
- que implica
- IT
- iteraciones
- SUS
- jpg
- Clave
- Kim
- Corea
- Coreano
- lanzamiento
- Lázaro
- Grupo Lázaro
- líder
- menos
- legítima
- limitar
- carga
- local
- máquina
- macos
- Inicio
- HACE
- el malware
- muchos
- engañoso
- Mes
- MEJOR DE TU
- motivado
- múltiples
- Llamado
- nombres
- del sistema,
- Nuevo
- North
- señaló
- Noviembre
- Noviembre 2021
- número
- of
- en marcha
- Otro
- salir
- total
- camino
- Personas
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- encuesta
- posibilidad
- preparación
- Anterior
- en costes
- Programas
- público
- Python
- Tarifas
- reciente
- recientemente
- reduce
- régimen
- relacionado
- reporte
- República
- investigadores
- respuesta
- responsable
- Ejecutar
- s
- Said
- estafas
- guión
- guiones
- EN LINEA
- Septiembre
- Serie
- servidor
- Servicios
- set
- Sets
- pólipo
- desde
- SEIS
- Social
- Ingeniería social
- Software
- Español
- dividido
- propagación
- Etapa
- etapas
- Sin embargo
- Estratégico
- exitosos
- tal
- sufrió
- suizo
- Target
- afectados
- equipo
- la técnica
- técnicas
- esa
- La
- el mundo
- robo
- su
- Les
- luego
- ellos
- así
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- Así
- a
- se
- del IRS
- Trace
- seguir
- tradicional
- dos
- UN
- descubierto
- bajo
- sin precedentes
- utilizan el
- usado
- usuarios
- usos
- usando
- diversos
- versión
- versiones
- Víctima
- las víctimas
- murga
- fue
- tuvieron
- que
- ventanas
- dentro de
- mundo
- zephyrnet
- Zip