Il famigerato gruppo APT (Advanced Persistent Threat) della Corea del Nord Lazarus ha sviluppato una forma di malware macOS chiamato “KandyKorn”, che sta utilizzando per prendere di mira gli ingegneri blockchain collegati agli scambi di criptovaluta.
Secondo un rapporto di Elastic Security Labs, KandyKorn dispone di un set completo di funzionalità per rilevare, accedere e rubare qualsiasi dato dal computer della vittima, inclusi servizi e applicazioni di criptovaluta.
Per realizzarlo, Lazarus ha adottato un approccio a più fasi che prevedeva un'applicazione Python mascherata da bot di arbitraggio di criptovaluta (uno strumento software in grado di trarre profitto dalla differenza nei tassi di criptovaluta tra le piattaforme di scambio di criptovaluta). L'app presentava nomi fuorvianti, tra cui "config.py" e "pricetable.py", ed era distribuita tramite un server Discord pubblico.
Il gruppo ha quindi utilizzato tecniche di ingegneria sociale per incoraggiare le vittime a scaricare e decomprimere un archivio zip nei loro ambienti di sviluppo, presumibilmente contenente il bot. In realtà, il file conteneva un'applicazione Python precostruita con codice dannoso.
Le vittime dell'attacco credevano di aver installato un bot di arbitraggio, ma il lancio dell'applicazione Python ha avviato l'esecuzione di un flusso di malware in più fasi culminato nell'implementazione dello strumento dannoso KandyKorn, hanno detto gli esperti di Elastic Security.
Routine di infezione di KandyKorn Malware
L'attacco inizia con l'esecuzione di Main.py, che importa Watcher.py. Questo script controlla la versione di Python, configura le directory locali e recupera due script direttamente da Google Drive: TestSpeed.py e FinderTools.
Questi script vengono utilizzati per scaricare ed eseguire un binario offuscato chiamato Sugarloader, responsabile di fornire l'accesso iniziale alla macchina e di preparare le fasi finali del malware, che coinvolgono anche uno strumento chiamato Hloader.
Il team delle minacce è riuscito a tracciare l’intero percorso di distribuzione del malware, giungendo alla conclusione che KandyKorn è la fase finale della catena di esecuzione.
I processi KandyKorn stabiliscono quindi la comunicazione con il server degli hacker, consentendogli di ramificarsi ed essere eseguito in background.
Secondo l'analisi, il malware non interroga il dispositivo e le applicazioni installate, ma attende comandi diretti dagli hacker, il che riduce il numero di endpoint e artefatti di rete creati, limitando così la possibilità di rilevamento.
Il gruppo di minacce ha utilizzato anche il caricamento binario riflettente come tecnica di offuscamento, che aiuta il malware a bypassare la maggior parte dei programmi di rilevamento.
"Gli avversari utilizzano comunemente tecniche di offuscamento come questa per aggirare le tradizionali funzionalità antimalware basate su firme statiche", osserva il rapporto.
Scambi di criptovaluta sotto attacco
Gli scambi di criptovaluta hanno sofferto una serie di attacchi di furto di chiavi private nel 2023, la maggior parte dei quali sono stati attribuiti al gruppo Lazarus, che utilizza i suoi guadagni illeciti per finanziare il regime nordcoreano. L'FBI ha recentemente scoperto che il gruppo aveva spostato 1,580 bitcoin da molteplici rapine di criptovaluta, detenendo i fondi in sei diversi indirizzi bitcoin.
A settembre sono stati scoperti gli aggressori rivolto a modellatori 3D e grafici con versioni dannose di uno strumento di installazione Windows legittimo in una campagna di furto di criptovaluta in corso almeno da novembre 2021.
Un mese prima, i ricercatori avevano scoperto due campagne malware correlate, soprannominate CherryBlos e FakeTrade, che ha preso di mira gli utenti Android per furti di criptovaluta e altre truffe a sfondo finanziario.
Minaccia crescente da parte della DPKR
Una collaborazione senza precedenti tra varie APT all'interno della Repubblica popolare democratica di Corea (RPDC) le rende più difficili da rintracciare, ponendo le basi per attacchi informatici aggressivi e complessi che richiedono sforzi di risposta strategica, secondo un recente rapporto di Mandiant ha avvertito.
Ad esempio, il leader del paese, Kim Jong Un, possiede un coltellino svizzero APT chiamato Kimsuky, che continua a diffondere i suoi tentacoli in tutto il mondo, indicando che non è intimidito dal ricercatori in avvicinamento. Kimsuky ha attraversato molte iterazioni ed evoluzioni, incluso una netta divisione in due sottogruppi.
Nel frattempo, il gruppo Lazarus sembra aver aggiunto a nuova backdoor complessa e ancora in evoluzione al suo arsenale di malware, individuato per la prima volta in una compromissione informatica riuscita di una società aerospaziale spagnola.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :ha
- :È
- :non
- $ SU
- 1
- 2021
- 3d
- 7
- a
- capace
- accesso
- Secondo
- aggiunto
- indirizzi
- Avanzate
- Aeronautico
- aggressivo
- Consentire
- anche
- an
- .
- ed
- androide
- in qualsiasi
- App
- appare
- Applicazioni
- applicazioni
- approccio
- APT
- arbitraggio
- Archivio
- SONO
- Army
- in giro
- Arsenal
- AS
- At
- attacco
- attacchi
- sfondo
- stato
- creduto
- fra
- Bitcoin
- blockchain
- Bot
- Branch di società
- ma
- by
- detto
- Campagna
- Responsabile Campagne
- funzionalità
- capace
- catena
- Controlli
- chiusura
- codice
- collaborazione
- comunemente
- Comunicazione
- azienda
- complesso
- compromesso
- computer
- conclusione
- collegato
- contenute
- continua
- nazione
- creato
- crypto
- criptovaluta
- Scambio di criptovaluta
- Scambi di criptovaluta
- culminante
- Cyber
- attacchi informatici
- dati
- consegnare
- Richiesta
- democratico
- deployment
- individuare
- rivelazione
- sviluppato
- Mercato
- dispositivo
- differenza
- diverso
- dirette
- direttamente
- directory
- discordia
- scoperto
- distribuito
- effettua
- scaricare
- Corea del Nord
- disegno
- guidare
- soprannominato
- sforzi
- occupato
- incoraggiare
- Ingegneria
- Ingegneri
- Intero
- ambienti
- stabilire
- evoluzioni
- evoluzione
- exchange
- Cambi Merce
- eseguire
- esecuzione
- esperti
- fbi
- In primo piano
- Compila il
- finale
- fasi finali
- finanziariamente
- Nome
- flusso
- Nel
- modulo
- essere trovato
- da
- fondo
- fondi
- Guadagni
- Dare
- andato
- Grafico
- Gruppo
- hacker
- ha avuto
- Più forte
- Avere
- aiuta
- possesso
- HTTPS
- importazioni
- in
- Compreso
- infame
- inizialmente
- avviato
- installato
- esempio
- ai miglioramenti
- coinvolgere
- coinvolgendo
- IT
- iterazioni
- SUO
- jpg
- Le
- Kim
- Corea
- Coreano
- lancio
- Lazarus
- Gruppo Lazzaro
- leader
- meno
- legittimo
- limitativo
- Caricamento in corso
- locale
- macchina
- macos
- Principale
- FA
- il malware
- molti
- ingannevole
- Mese
- maggior parte
- motivato
- multiplo
- Detto
- nomi
- Rete
- New
- Nord
- noto
- Novembre
- novembre 2021
- numero
- of
- in corso
- Altro
- su
- a titolo definitivo
- sentiero
- Persone
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- sondaggio
- possibilità
- preparazione
- Precedente
- i processi
- Programmi
- la percezione
- Python
- recente
- recentemente
- riduce
- regime
- relazionato
- rapporto
- Repubblica
- ricercatori
- risposta
- responsabile
- Correre
- s
- Suddetto
- truffe
- copione
- script
- problemi di
- Settembre
- Serie
- server
- Servizi
- set
- Set
- regolazione
- da
- SIX
- Social
- Ingegneria sociale
- Software
- Spagnolo
- dividere
- diffondere
- Stage
- tappe
- Ancora
- Strategico
- di successo
- tale
- subito
- svizzero
- Target
- mirata
- team
- per l'esame
- tecniche
- che
- Il
- il mondo
- furto
- loro
- Li
- poi
- di
- questo
- minaccia
- Attraverso
- così
- a
- ha preso
- Traccia
- pista
- tradizionale
- seconda
- UN
- scoperto
- per
- inaudito
- uso
- utilizzato
- utenti
- usa
- utilizzando
- vario
- versione
- versioni
- Vittima
- vittime
- attese
- Prima
- sono stati
- quale
- finestre
- con
- entro
- mondo
- zefiro
- Codice postale
