'KandyKorn' macOS-malware lokt crypto-ingenieurs

De beruchte Noord-Koreaanse Advanced Persistent Threat (APT)-groep Lazarus heeft een vorm van macOS-malware ontwikkeld genaamd “KandyKorn”, die het gebruikt om blockchain-ingenieurs aan te vallen die verbonden zijn met cryptocurrency-uitwisselingen.

Volgens een rapport van Elastic Security Labs, KandyKorn beschikt over een complete reeks mogelijkheden om alle gegevens van de computer van het slachtoffer te detecteren, te openen en te stelen, inclusief cryptocurrency-diensten en -applicaties.

Om dit te realiseren heeft Lazarus een aanpak in meerdere fasen gevolgd, waarbij gebruik is gemaakt van een Python-applicatie die zich voordoet als een cryptocurrency-arbitragebot (een softwaretool die kan profiteren van het verschil in cryptocurrency-tarieven tussen cryptocurrency-uitwisselingsplatforms). De app bevatte misleidende namen, waaronder ‘config.py’ en ‘pricetable.py’, en werd verspreid via een openbare Discord-server.

De groep gebruikte vervolgens social engineering-technieken om zijn slachtoffers aan te moedigen een zip-archief te downloaden en uit te pakken in hun ontwikkelomgeving, dat naar verluidt de bot bevatte. In werkelijkheid bevatte het bestand een vooraf gebouwde Python-applicatie met kwaadaardige code.

Slachtoffers van de aanval dachten dat ze een arbitragebot hadden geïnstalleerd, maar het lanceren van de Python-applicatie zette de uitvoering van een uit meerdere stappen bestaande malwarestroom op gang die culmineerde in de inzet van de kwaadaardige tool KandyKorn, aldus experts van Elastic Security.

De infectieroutine van KandyKorn Malware

De aanval begint met de uitvoering van Main.py, die Watcher.py importeert. Dit script controleert de Python-versie, stelt lokale mappen in en haalt twee scripts rechtstreeks uit Google Drive op: TestSpeed.py en FinderTools.

Deze scripts worden gebruikt om een ​​versluierd binair bestand genaamd Sugarloader te downloaden en uit te voeren, dat verantwoordelijk is voor het verlenen van initiële toegang tot de machine en het voorbereiden van de laatste fasen van de malware, waarbij ook een tool genaamd Hloader betrokken is.

Het dreigingsteam kon het volledige traject van de malware-implementatie volgen en kwam tot de conclusie dat KandyKorn de laatste fase van de uitvoeringsketen is.

KandyKorn-processen brengen vervolgens communicatie tot stand met de server van de hacker, waardoor deze zich kan vertakken en op de achtergrond kan draaien.

De malware controleert het apparaat en de geïnstalleerde applicaties niet, maar wacht volgens de analyse op directe opdrachten van de hackers, waardoor het aantal gecreëerde eindpunten en netwerkartefacten wordt verminderd, waardoor de mogelijkheid tot detectie wordt beperkt.

De bedreigingsgroep gebruikte ook reflecterend binair laden als verduisteringstechniek, waardoor de malware de meeste detectieprogramma's kan omzeilen.

“Tegenstanders gebruiken dit soort verduisteringstechnieken vaak om de traditionele, op statische handtekeningen gebaseerde antimalwaremogelijkheden te omzeilen”, aldus het rapport.

Cryptocurrency-uitwisselingen onder vuur

Cryptocurrency-uitwisselingen hebben een aantal te lijden gehad Aanvallen op het gebied van diefstal van privésleutels in 2023, waarvan de meeste zijn toegeschreven aan de Lazarus-groep, die haar onrechtmatig verkregen winsten gebruikt om het Noord-Koreaanse regime te financieren. De FBI ontdekte onlangs dat de groep dat had gedaan 1,580 bitcoins verplaatst van meerdere cryptocurrency-overvallen, waarbij het geld op zes verschillende bitcoin-adressen werd bewaard.

In september werden aanvallers ontdekt gericht op 3D-modelbouwers en grafisch ontwerpers met kwaadaardige versies van een legitieme Windows-installatietool in een campagne voor het stelen van cryptocurrency die al sinds november 2021 aan de gang is.

Een maand eerder ontdekten onderzoekers twee gerelateerde malwarecampagnes, genaamd CherryBlos en FakeTrade, die zich richtte op Android-gebruikers voor diefstal van cryptocurrency en andere financieel gemotiveerde oplichting.

Toenemende dreiging vanuit de DPKR

Een ongekende samenwerking tussen verschillende APT’s binnen de Democratische Volksrepubliek Korea (DVK) maakt ze moeilijker te volgen, wat de weg vrijmaakt voor agressieve, complexe cyberaanvallen die strategische reactie-inspanningen vereisen, zo blijkt uit een recent rapport van Mandiant waarschuwde.

De leider van het land, Kim Jong Un, heeft bijvoorbeeld een Zwitsers zakmes APT genaamd Kimsuky, dat zijn ranken over de hele wereld blijft verspreiden, wat aangeeft dat het niet geïntimideerd is door de onderzoekers komen dichterbij. Kimsuky heeft vele iteraties en evoluties ondergaan, waaronder een regelrechte splitsing in twee subgroepen.

Ondertussen lijkt de Lazarus-groep een complexe en nog steeds evoluerende nieuwe achterdeur toegevoegd aan zijn malwarearsenaal, dat voor het eerst werd opgemerkt in een succesvol cybercompromis van een Spaans lucht- en ruimtevaartbedrijf.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers