'KandyKorn' macOS-malware lokker kryptoingeniører

Den beryktede nordkoreanske gruppen for avansert vedvarende trussel (APT). Lazarus har utviklet en form for macOS-malware kalt "KandyKorn", som den bruker for å målrette mot blokkjedeingeniører koblet til kryptovalutabørser.

Ifølge en rapport fra Elastic Security Labs, KandyKorn har et fullverdig sett med funksjoner for å oppdage, få tilgang til og stjele all data fra offerets datamaskin, inkludert kryptovalutatjenester og -applikasjoner.

For å levere det, tok Lazarus en flertrinns tilnærming som involverte en Python-applikasjon som ble maskert som en kryptovaluta-arbitrage-bot (et programvareverktøy som er i stand til å tjene på forskjellen i kryptovalutakurser mellom kryptovalutautvekslingsplattformer). Appen inneholdt villedende navn, inkludert "config.py" og "pricetable.py", og ble distribuert gjennom en offentlig Discord-server.

Gruppen brukte deretter sosiale ingeniørteknikker for å oppmuntre ofrene til å laste ned og pakke ut et zip-arkiv i utviklingsmiljøene deres, som angivelig inneholder boten. I virkeligheten inneholdt filen et forhåndsbygget Python-program med ondsinnet kode.

Ofrene for angrepet trodde de hadde installert en arbitrage-bot, men lanseringen av Python-applikasjonen initierte utførelsen av en flertrinns malware-strøm som kulminerte med utplasseringen av KandyKorn-ondsinnede verktøy, sa Elastic Security-eksperter.

KandyKorn Malwares infeksjonsrutine

Angrepet begynner med kjøringen av Main.py, som importerer Watcher.py. Dette skriptet sjekker Python-versjonen, setter opp lokale kataloger og henter to skript direkte fra Google Disk: TestSpeed.py og FinderTools.

Disse skriptene brukes til å laste ned og kjøre en obfuskert binær kalt Sugarloader, ansvarlig for å gi førstegangstilgang til maskinen og forberede de siste stadiene av skadelig programvare, som også involverer et verktøy kalt Hloader.

Trusselteamet var i stand til å spore hele distribusjonsveien for skadelig programvare, og konkluderte med at KandyKorn er det siste stadiet i utførelseskjeden.

KandyKorn-prosesser etablerer deretter kommunikasjon med hackernes server, slik at den kan forgrene seg og kjøre i bakgrunnen.

Skadevaren poller ikke enheten og installerte applikasjoner, men venter på direkte kommandoer fra hackerne, ifølge analysen, noe som reduserer antallet endepunkter og nettverksartefakter som opprettes, og dermed begrenser muligheten for oppdagelse.

Trusselgruppen brukte også reflekterende binær lasting som en tilsløringsteknikk, som hjelper skadevare å omgå de fleste gjenkjenningsprogrammer.

"Motstandere bruker ofte sløringsteknikker som dette for å omgå tradisjonelle statiske signaturbaserte antimalware-funksjoner," bemerket rapporten.

Kryptovalutautveksling under brann

Kryptovalutabørser har lidd en rekke private nøkkeltyveriangrep i 2023, hvorav de fleste har blitt tilskrevet Lazarus-gruppen, som bruker sine dårlige gevinster til å finansiere det nordkoreanske regimet. FBI fant nylig ut at gruppen hadde flyttet 1,580 bitcoins fra flere kryptovaluta-ran, med midlene i seks forskjellige bitcoin-adresser.

I september ble angripere oppdaget rettet mot 3D-modellere og grafiske designere med ondsinnede versjoner av et legitimt Windows-installasjonsverktøy i en kryptovaluta-tyvende kampanje som har pågått siden minst november 2021.

En måned tidligere avdekket forskere to relaterte malware-kampanjer, kalt CherryBlos og FakeTrade, som målrettet Android-brukere for tyveri av kryptovaluta og annen økonomisk motivert svindel.

Økende trussel fra DPKR

Et enestående samarbeid fra ulike APT-er i Den demokratiske folkerepublikken Korea (DPRK) gjør dem vanskeligere å spore, og legger scenen for aggressive, komplekse nettangrep som krever strategisk responsinnsats, en fersk rapport fra Mandiant advarte.

For eksempel har landets leder, Kim Jong Un, en sveitsisk hærkniv APT kalt Kimsuky, som fortsetter å spre sine ranker rundt om i verden, noe som indikerer at den ikke er skremt av forskere som nærmer seg. Kimsuky har gått gjennom mange iterasjoner og evolusjoner, inkludert en direkte delt i to undergrupper.

I mellomtiden ser det ut til at Lazarus-gruppen har lagt til en kompleks og stadig utviklende ny bakdør til malware-arsenalet, først oppdaget i et vellykket cyberkompromiss fra et spansk luftfartsselskap.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers