'कैंडीकॉर्न' मैकओएस मैलवेयर क्रिप्टो इंजीनियरों को लुभाता है

कुख्यात उत्तर कोरियाई एडवांस्ड परसिस्टेंट थ्रेट (एपीटी) समूह लाजास्र्स ने "कैंडीकोर्न" नामक macOS मैलवेयर का एक रूप विकसित किया है, जिसका उपयोग वह क्रिप्टोकरेंसी एक्सचेंजों से जुड़े ब्लॉकचेन इंजीनियरों को लक्षित करने के लिए कर रहा है।

एक के अनुसार इलास्टिक सिक्योरिटी लैब्स की रिपोर्ट, कैंडीकॉर्न के पास क्रिप्टोकरेंसी सेवाओं और एप्लिकेशन सहित पीड़ित के कंप्यूटर से किसी भी डेटा का पता लगाने, एक्सेस करने और चोरी करने की क्षमताओं का एक पूर्ण-विशेषताओं वाला सेट है।

इसे वितरित करने के लिए, लाजर ने एक क्रिप्टोकरेंसी आर्बिट्रेज बॉट (एक सॉफ्टवेयर टूल जो क्रिप्टोकरेंसी एक्सचेंज प्लेटफार्मों के बीच क्रिप्टोकरेंसी दरों में अंतर से लाभ कमाने में सक्षम है) के रूप में एक पायथन एप्लिकेशन को शामिल करते हुए एक बहुस्तरीय दृष्टिकोण अपनाया। ऐप में भ्रामक नाम शामिल थे, जिनमें "config.py" और "pricetable.py" शामिल थे और इसे एक सार्वजनिक डिस्कॉर्ड सर्वर के माध्यम से वितरित किया गया था।

इसके बाद समूह ने अपने पीड़ितों को अपने विकास परिवेश में एक ज़िप संग्रह को डाउनलोड करने और अनज़िप करने के लिए प्रोत्साहित करने के लिए सोशल इंजीनियरिंग तकनीकों का इस्तेमाल किया, जिसमें कथित तौर पर बॉट शामिल था। वास्तव में, फ़ाइल में दुर्भावनापूर्ण कोड के साथ एक पूर्वनिर्मित पायथन एप्लिकेशन था।

इलास्टिक सिक्योरिटी विशेषज्ञों ने कहा कि हमले के पीड़ितों का मानना ​​​​था कि उन्होंने एक आर्बिट्रेज बॉट स्थापित किया था, लेकिन पायथन एप्लिकेशन को लॉन्च करने से मल्टीस्टेप मैलवेयर प्रवाह का निष्पादन शुरू हो गया, जो कैंडीकोर्न दुर्भावनापूर्ण टूल की तैनाती में परिणत हुआ।

कैंडीकॉर्न मैलवेयर का संक्रमण रूटीन

हमला Main.py के निष्पादन से शुरू होता है, जो Watcher.py को आयात करता है। यह स्क्रिप्ट पायथन संस्करण की जाँच करती है, स्थानीय निर्देशिकाएँ सेट करती है, और सीधे Google ड्राइव से दो स्क्रिप्ट पुनर्प्राप्त करती है: TestSpeed.py और FinderTools।

इन स्क्रिप्ट्स का उपयोग सुगरलोडर नामक एक अस्पष्ट बाइनरी को डाउनलोड करने और निष्पादित करने के लिए किया जाता है, जो मशीन तक प्रारंभिक पहुंच देने और मैलवेयर के अंतिम चरण को तैयार करने के लिए जिम्मेदार है, जिसमें Hloader नामक एक टूल भी शामिल है।

धमकी देने वाली टीम पूरे मैलवेयर परिनियोजन पथ का पता लगाने में सक्षम थी, जिससे यह निष्कर्ष निकला कि कैंडीकोर्न निष्पादन श्रृंखला का अंतिम चरण है।

कैंडीकोर्न प्रक्रियाएं फिर हैकर्स के सर्वर के साथ संचार स्थापित करती हैं, जिससे उसे शाखा लगाने और पृष्ठभूमि में चलने की अनुमति मिलती है।

विश्लेषण के अनुसार, मैलवेयर डिवाइस और इंस्टॉल किए गए एप्लिकेशन को प्रदूषित नहीं करता है, बल्कि हैकर्स से सीधे कमांड का इंतजार करता है, जिससे बनाए गए एंडपॉइंट और नेटवर्क आर्टिफैक्ट की संख्या कम हो जाती है, जिससे पता लगाने की संभावना सीमित हो जाती है।

ख़तरे वाले समूह ने रिफ्लेक्टिव बाइनरी लोडिंग का उपयोग ओफ़्स्क्यूशन तकनीक के रूप में भी किया, जो मैलवेयर को अधिकांश पहचान कार्यक्रमों को बायपास करने में मदद करता है।

रिपोर्ट में कहा गया है, "विरोधी आमतौर पर पारंपरिक स्थैतिक हस्ताक्षर-आधारित एंटीमैलवेयर क्षमताओं को बायपास करने के लिए इस तरह की अस्पष्ट तकनीकों का उपयोग करते हैं।"

क्रिप्टोक्यूरेंसी एक्सचेंज आग के घेरे में

क्रिप्टोक्यूरेंसी एक्सचेंजों को एक श्रृंखला का सामना करना पड़ा है 2023 में निजी कुंजी चोरी के हमले, जिनमें से अधिकांश का श्रेय लाजर समूह को दिया गया है, जो उत्तर कोरियाई शासन को वित्त पोषित करने के लिए अपने अवैध लाभ का उपयोग करता है। एफबीआई ने हाल ही में पाया कि समूह के पास था 1,580 बिटकॉइन ले जाया गया कई क्रिप्टोकरेंसी डकैतियों से, छह अलग-अलग बिटकॉइन पतों में फंड रखना।

सितंबर में, हमलावरों की खोज की गई 3डी मॉडलर्स और ग्राफिक डिजाइनरों को लक्षित करना क्रिप्टोकरेंसी-चोरी अभियान में वैध विंडोज इंस्टॉलर टूल के दुर्भावनापूर्ण संस्करणों के साथ, जो कम से कम नवंबर 2021 से चल रहा है।

एक महीने पहले, शोधकर्ताओं ने डब किए गए दो संबंधित मैलवेयर अभियानों को उजागर किया था चेरीब्लोस और फेकट्रेड, जिसने क्रिप्टोकरेंसी चोरी और अन्य वित्तीय रूप से प्रेरित घोटालों के लिए एंड्रॉइड उपयोगकर्ताओं को लक्षित किया।

डीपीकेआर से बढ़ता ख़तरा

डेमोक्रेटिक पीपुल्स रिपब्लिक ऑफ कोरिया (डीपीआरके) के भीतर विभिन्न एपीटी द्वारा अभूतपूर्व सहयोग से उन्हें ट्रैक करना कठिन हो जाता है, जिससे आक्रामक, जटिल साइबर हमलों के लिए मंच तैयार होता है, जो रणनीतिक प्रतिक्रिया प्रयासों की मांग करते हैं, एक हालिया रिपोर्ट मैंडिएंट ने चेतावनी दी.

उदाहरण के लिए, देश के नेता, किम जोंग उन के पास किमसुकी नाम का एक स्विस आर्मी चाकू एपीटी है, जो दुनिया भर में अपना प्रसार जारी रखता है, जो दर्शाता है कि वह इससे भयभीत नहीं है। शोधकर्ता समापन कर रहे हैं. किम्सुकी कई पुनरावृत्तियों और विकासों से गुज़रा है, जिनमें शामिल हैं एक पूर्ण रूप से दो उपसमूहों में विभाजित.

इस बीच, लाजर समूह ने एक जोड़ा हुआ प्रतीत होता है जटिल और अभी भी विकसित हो रहा नया पिछला दरवाज़ा इसके मैलवेयर शस्त्रागार को पहली बार एक स्पेनिश एयरोस्पेस कंपनी के सफल साइबर समझौते में देखा गया था।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers