Malware macOS 'KandyKorn' Memikat Insinyur Kripto

Kelompok ancaman persisten tingkat lanjut (APT) Korea Utara yang terkenal Lazarus telah mengembangkan bentuk malware macOS yang disebut “KandyKorn,” yang digunakan untuk menargetkan insinyur blockchain yang terhubung dengan pertukaran mata uang kripto.

Menurut laporan dari Elastic Security Labs, KandyKorn memiliki serangkaian kemampuan berfitur lengkap untuk mendeteksi, mengakses, dan mencuri data apa pun dari komputer korban, termasuk layanan dan aplikasi mata uang kripto.

Untuk mewujudkannya, Lazarus mengambil pendekatan multitahap yang melibatkan aplikasi Python yang menyamar sebagai bot arbitrase mata uang kripto (alat perangkat lunak yang mampu mengambil keuntungan dari perbedaan nilai mata uang kripto antara platform pertukaran mata uang kripto). Aplikasi ini menampilkan nama yang menyesatkan, termasuk “config.py” dan “pricetable.py,” dan didistribusikan melalui server Discord publik.

Kelompok tersebut kemudian menggunakan teknik rekayasa sosial untuk mendorong korbannya mengunduh dan mengekstrak arsip zip ke dalam lingkungan pengembangan mereka, yang konon berisi bot tersebut. Sebenarnya, file tersebut berisi aplikasi Python bawaan dengan kode berbahaya.

Para korban serangan percaya bahwa mereka telah memasang bot arbitrase, namun peluncuran aplikasi Python memulai eksekusi aliran malware multi-langkah yang berpuncak pada penerapan alat berbahaya KandyKorn, kata pakar Keamanan Elastic.

Rutinitas Infeksi Malware KandyKorn

Serangan dimulai dengan eksekusi Main.py, yang mengimpor Watcher.py. Skrip ini memeriksa versi Python, menyiapkan direktori lokal, dan mengambil dua skrip langsung dari Google Drive: TestSpeed.py dan FinderTools.

Skrip ini digunakan untuk mengunduh dan mengeksekusi biner yang dikaburkan yang disebut Sugarloader, yang bertanggung jawab untuk memberikan akses awal ke mesin dan mempersiapkan tahap akhir malware, yang juga melibatkan alat yang disebut Hloader.

Tim ancaman mampu melacak seluruh jalur penyebaran malware, dan menyimpulkan bahwa KandyKorn adalah tahap akhir dari rantai eksekusi.

Proses KandyKorn kemudian menjalin komunikasi dengan server peretas, memungkinkannya bercabang dan berjalan di latar belakang.

Menurut analisis, malware tersebut tidak melakukan polling pada perangkat dan aplikasi yang terinstal, namun menunggu perintah langsung dari peretas, sehingga mengurangi jumlah titik akhir dan artefak jaringan yang dibuat, sehingga membatasi kemungkinan deteksi.

Kelompok ancaman juga menggunakan pemuatan biner reflektif sebagai teknik kebingungan, yang membantu malware melewati sebagian besar program deteksi.

“Penyerang biasanya menggunakan teknik kebingungan seperti ini untuk menerobos kemampuan antimalware berbasis tanda tangan statis tradisional,” tulis laporan tersebut.

Pertukaran Cryptocurrency Dikecam

Pertukaran Cryptocurrency telah mengalami serangkaian penderitaan serangan pencurian kunci pribadi pada tahun 2023, yang sebagian besar dikaitkan dengan kelompok Lazarus, yang menggunakan keuntungan haramnya untuk mendanai rezim Korea Utara. FBI baru-baru ini menemukan bahwa kelompok tersebut telah melakukan hal tersebut memindahkan 1,580 bitcoin dari beberapa pencurian mata uang kripto, menyimpan dana di enam alamat bitcoin berbeda.

Pada bulan September, penyerang ditemukan menargetkan pemodel 3D dan desainer grafis dengan versi berbahaya dari alat penginstal Windows yang sah dalam kampanye pencuri mata uang kripto yang telah berlangsung setidaknya sejak November 2021.

Sebulan sebelumnya, para peneliti menemukan dua kampanye malware terkait, yang diberi nama CherryBlos dan Perdagangan Palsu, yang menargetkan pengguna Android untuk pencurian mata uang kripto dan penipuan bermotif finansial lainnya.

Meningkatnya Ancaman dari DPRK

Kolaborasi yang belum pernah terjadi sebelumnya antara berbagai APT di Republik Demokratik Rakyat Korea (DPRK) membuat mereka lebih sulit dilacak, sehingga memicu terjadinya serangan siber yang agresif dan kompleks yang memerlukan upaya respons strategis, demikian laporan terbaru dari Mandiant memperingatkan.

Misalnya, pemimpin negara tersebut, Kim Jong Un, memiliki APT pisau Swiss Army bernama Kimsuky, yang terus menyebarkan sulurnya ke seluruh dunia, yang menunjukkan bahwa mereka tidak terintimidasi oleh para pemimpin negara tersebut. peneliti mendekat. Kimsuky telah melalui banyak iterasi dan evolusi, termasuk perpecahan langsung menjadi dua subkelompok.

Sementara itu, kelompok Lazarus nampaknya menambahkan a pintu belakang baru yang kompleks dan masih berkembang ke gudang malware-nya, yang pertama kali terlihat dalam peretasan dunia maya yang berhasil dilakukan oleh perusahaan dirgantara Spanyol.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers