'KandyKorn' macOS Malware מפתה מהנדסי קריפטו

קבוצת האיום המתקדם (APT) הידוע לשמצה של צפון קוריאה לזרוס פיתחה סוג של תוכנות זדוניות של macOS בשם "KandyKorn", שבה היא משתמשת כדי למקד מהנדסי בלוקצ'יין המחוברים לבורסות מטבעות קריפטוגרפיים.

פי דו"ח של Elastic Security Labs, ל- KandyKorn יש מערכת מלאה של יכולות לזהות, לגשת ולגנוב כל מידע מהמחשב של הקורבן, כולל שירותי ויישומי קריפטוגרפיים.

כדי לספק את זה, לזרוס נקט בגישה רב-שלבית הכוללת יישום Python המתחזה לבוט ארביטראז' של מטבעות קריפטוגרפיים (כלי תוכנה המסוגל להרוויח מההבדל בשערי מטבעות קריפטוגרפיים בין פלטפורמות החלפת מטבעות קריפטוגרפיים). האפליקציה כללה שמות מטעים, כולל "config.py" ו-"pricetable.py", והופצה דרך שרת דיסקורד ציבורי.

לאחר מכן, הקבוצה השתמשה בטכניקות הנדסה חברתית כדי לעודד את קורבנותיה להוריד ולפתוח ארכיון zip לתוך סביבות הפיתוח שלהם, המכילה לכאורה את הבוט. למעשה, הקובץ הכיל יישום Python שנבנה מראש עם קוד זדוני.

קורבנות המתקפה האמינו שהם התקינו בוט ארביטראז', אך השקת אפליקציית Python יזמה ביצוע של זרימת תוכנות זדוניות רב-שלביות שהגיעה לשיאה בפריסה של הכלי הזדוני KandyKorn, אמרו מומחי Elastic Security.

שגרת הזיהום של KandyKorn Malware

המתקפה מתחילה בביצוע של Main.py, המייבאת את Watcher.py. סקריפט זה בודק את גרסת Python, מגדיר ספריות מקומיות ומחזיר שני סקריפטים ישירות מ-Google Drive: TestSpeed.py ו-FinderTools.

סקריפטים אלו משמשים להורדה וביצוע של קובץ בינארי מעורפל בשם Sugarloader, האחראי על מתן גישה ראשונית למכונה והכנת השלבים האחרונים של התוכנה הזדונית, הכוללים גם כלי שנקרא Hloader.

צוות האיומים הצליח לאתר את כל נתיב הפריסה של תוכנות זדוניות, והסיק את המסקנה שקנדיקורן הוא השלב האחרון בשרשרת הביצוע.

לאחר מכן, תהליכי KandyKorn יוצרים תקשורת עם שרת ההאקרים, ומאפשרים לו להסתעף ולרוץ ברקע.

התוכנה הזדונית אינה מסקרת את המכשיר והאפליקציות המותקנות אלא ממתינה לפקודות ישירות מההאקרים, לפי הניתוח, מה שמפחית את מספר נקודות הקצה וחפצי הרשת שנוצרו, ובכך מגביל את אפשרות הגילוי.

קבוצת האיומים השתמשה גם בטעינה בינארית רפלקטיבית כטכניקת ערפול, המסייעת לתוכנות זדוניות לעקוף את רוב תוכניות הזיהוי.

"יריבים משתמשים בדרך כלל בטכניקות ערפול כגון זה כדי לעקוף יכולות מסורתיות מבוססות חתימות סטטיות נגד תוכנות זדוניות", צוין בדו"ח.

חילופי מטבעות קריפטו תחת אש

בורסות מטבעות קריפטו סבלו מסדרה של התקפות גניבת מפתח פרטי בשנת 2023, רובם יוחסו לקבוצת לזרוס, שמנצלת את רווחיה שלא הושגו כדי לממן את המשטר הצפון קוריאני. ה-FBI מצא לאחרונה שיש לקבוצה העביר 1,580 ביטקוין משודדים מרובים של מטבעות קריפטוגרפיים, מחזיק את הכספים בשש כתובות ביטקוין שונות.

בספטמבר התגלו תוקפים מיקוד למעצבים ומעצבים גרפיים בתלת מימד עם גרסאות זדוניות של כלי התקנה לגיטימי של Windows במסע פרסום לגנבת מטבעות קריפטוגרפיים שנמשך לפחות מאז נובמבר 2021.

חודש לפני כן, חוקרים חשפו שני מסעות פרסום הקשורים בתוכנות זדוניות, שכונו CherryBlos ו-FakeTrade, אשר כיוון למשתמשי אנדרואיד עבור גניבת מטבעות קריפטוגרפיים והונאות אחרות על רקע כלכלי.

איום הולך וגובר מ-DPKR

שיתוף פעולה חסר תקדים של APTs שונים בתוך הרפובליקה העממית הדמוקרטית של קוריאה (DPRK) מקשה על המעקב אחריהם, מה שמציב את הבמה להתקפות סייבר אגרסיביות ומורכבות הדורשות מאמצי תגובה אסטרטגית, דו"ח שפורסם לאחרונה מנדיאנט הזהיר.

לדוגמה, למנהיג המדינה, קים ג'ונג און, יש אולר שוויצרי APT בשם Kimsuky, שממשיך להפיץ את הקנוקנות שלו ברחבי העולם, מה שמעיד על כך שהוא לא נבהל מה- חוקרים מתקרבים. קימסוקי עבר איטרציות ואבולוציות רבות, כולל פיצול מוחלט לשתי תת-קבוצות.

בינתיים, נראה שקבוצת לזרוס הוסיפה א דלת אחורית חדשה מורכבת ועדיין מתפתחת לארסנל התוכנות הזדוניות שלה, שזוהתה לראשונה בפשרת סייבר מוצלחת של חברת תעופה ספרדית.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers