O infame grupo norte-coreano de ameaças persistentes avançadas (APT) Lázaro desenvolveu uma forma de malware para macOS chamada “KandyKorn”, que está usando para atingir engenheiros de blockchain conectados a exchanges de criptomoedas.
De acordo com uma relatório do Elastic Security Labs, KandyKorn possui um conjunto completo de recursos para detectar, acessar e roubar quaisquer dados do computador da vítima, incluindo serviços e aplicativos de criptomoeda.
Para entregá-lo, Lazarus adotou uma abordagem de vários estágios envolvendo um aplicativo Python disfarçado de bot de arbitragem de criptomoedas (uma ferramenta de software capaz de lucrar com a diferença nas taxas de criptomoedas entre plataformas de troca de criptomoedas). O aplicativo apresentava nomes enganosos, incluindo “config.py” e “pricetable.py”, e foi distribuído por meio de um servidor público Discord.
O grupo então empregou técnicas de engenharia social para encorajar suas vítimas a baixar e descompactar um arquivo zip em seus ambientes de desenvolvimento, supostamente contendo o bot. Na verdade, o arquivo continha um aplicativo Python pré-construído com código malicioso.
As vítimas do ataque acreditaram ter instalado um bot de arbitragem, mas o lançamento do aplicativo Python iniciou a execução de um fluxo de malware em várias etapas, culminando na implantação da ferramenta maliciosa KandyKorn, disseram especialistas da Elastic Security.
Rotina de infecção do KandyKorn Malware
O ataque começa com a execução de Main.py, que importa Watcher.py. Este script verifica a versão do Python, configura diretórios locais e recupera dois scripts diretamente do Google Drive: TestSpeed.py e FinderTools.
Esses scripts são usados para baixar e executar um binário ofuscado chamado Sugarloader, responsável por dar acesso inicial à máquina e preparar as etapas finais do malware, que também envolvem uma ferramenta chamada Hloader.
A equipe de ameaças conseguiu rastrear todo o caminho de implantação do malware, concluindo que o KandyKorn é o estágio final da cadeia de execução.
Os processos do KandyKorn estabelecem então comunicação com o servidor dos hackers, permitindo que ele se ramifique e seja executado em segundo plano.
O malware não sonda o dispositivo e os aplicativos instalados, mas aguarda comandos diretos dos hackers, segundo a análise, o que reduz o número de endpoints e artefatos de rede criados, limitando assim a possibilidade de detecção.
O grupo de ameaças também usou o carregamento binário reflexivo como uma técnica de ofuscação, que ajuda o malware a contornar a maioria dos programas de detecção.
“Os adversários geralmente usam técnicas de ofuscação como essa para contornar os recursos antimalware tradicionais baseados em assinaturas estáticas”, observou o relatório.
Trocas de criptomoedas sob ataque
As exchanges de criptomoedas sofreram uma série de ataques de roubo de chave privada em 2023, a maioria dos quais foram atribuídos ao grupo Lazarus, que utiliza os seus ganhos ilícitos para financiar o regime norte-coreano. O FBI descobriu recentemente que o grupo tinha moveu 1,580 bitcoins de vários roubos de criptomoedas, mantendo os fundos em seis endereços bitcoin diferentes.
Em setembro, os invasores foram descobertos visando modeladores 3D e designers gráficos com versões maliciosas de uma ferramenta legítima de instalação do Windows em uma campanha de roubo de criptomoedas que está em andamento desde pelo menos novembro de 2021.
Um mês antes, os pesquisadores descobriram duas campanhas de malware relacionadas, apelidadas CherryBlos e FakeTrade, que visava usuários do Android para roubo de criptomoedas e outros golpes com motivação financeira.
Ameaça crescente do DPKR
Uma colaboração sem precedentes entre vários APTs na República Popular Democrática da Coreia (RPDC) torna-os mais difíceis de rastrear, preparando o terreno para ataques cibernéticos agressivos e complexos que exigem esforços de resposta estratégica, um relatório recente da Mandiant avisado.
Por exemplo, o líder do país, Kim Jong Un, tem um canivete suíço APT chamado Kimsuky, que continua a espalhar os seus tentáculos por todo o mundo, indicando que não se sente intimidado pela pesquisadores fechando. Kimsuky passou por muitas iterações e evoluções, incluindo uma divisão definitiva em dois subgrupos.
Enquanto isso, o grupo Lazarus parece ter adicionado um novo backdoor complexo e ainda em evolução ao seu arsenal de malware, detectado pela primeira vez em um comprometimento cibernético bem-sucedido de uma empresa aeroespacial espanhola.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/endpoint/kandykorn-macos-malware-lures-crypto-engineers
- :tem
- :é
- :não
- $UP
- 1
- 2021
- 3d
- 7
- a
- Capaz
- Acesso
- Segundo
- adicionado
- endereços
- avançado
- Indústria aeroespacial
- agressivo
- Permitindo
- tb
- an
- análise
- e
- andróide
- qualquer
- app
- aparece
- Aplicação
- aplicações
- abordagem
- APT
- arbitragem
- arquivo
- SOMOS
- Exército
- por aí
- Arsenal
- AS
- At
- ataque
- Ataques
- fundo
- sido
- Acredita
- entre
- Bitcoin
- blockchain
- Bot
- Ramo
- mas a
- by
- chamado
- Campanha
- Campanhas
- capacidades
- capaz
- cadeia
- Cheques
- encerramento
- código
- colaboração
- geralmente
- Comunicação
- Empresa
- integrações
- compromisso
- computador
- conclusão
- conectado
- contida
- continua
- país
- criado
- cripto
- criptomoedas
- Troca de Criptomoeda
- Intercâmbio de criptografia
- culminando
- cibernético
- ataques cibernéticos
- dados,
- entregar
- Demanda
- democrático
- desenvolvimento
- descobrir
- Detecção
- desenvolvido
- Desenvolvimento
- dispositivo
- diferença
- diferente
- diretamente
- diretamente
- diretórios
- discórdia
- descoberto
- distribuído
- parece
- download
- dprk
- desenho
- distância
- apelidado
- esforços
- empregada
- encorajar
- Engenharia
- Engenheiros
- Todo
- ambientes
- estabelecer
- evoluções
- evolução
- exchange
- Trocas
- executar
- execução
- especialistas
- fbi
- destaque
- Envie o
- final
- fases finais
- financeiramente
- Primeiro nome
- fluxo
- Escolha
- formulário
- encontrado
- da
- fundo
- fundos
- Ganhos
- Dando
- ido
- Designer
- Grupo
- hackers
- tinha
- mais duro
- Ter
- ajuda
- segurando
- HTTPS
- importações
- in
- Incluindo
- infame
- do estado inicial,
- iniciado
- instalado
- instância
- para dentro
- envolver
- envolvendo
- IT
- iterações
- ESTÁ
- jpg
- Chave
- Kim
- Coréia
- Coreana
- de lançamento
- Lázaro
- Grupo Lazarus
- líder
- mínimo
- legítimo
- limitando
- carregamento
- local
- máquina
- MacOS
- a Principal
- FAZ
- malwares
- muitos
- enganosa
- Mês
- a maioria
- motivados
- múltiplo
- Nomeado
- nomes
- rede
- Novo
- Norte
- notado
- Novembro
- Novembro de 2021
- número
- of
- contínuo
- Outros
- Fora
- abertamente
- caminho
- Pessoas
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- pol
- possibilidade
- preparação
- Prévio
- processos
- Programas
- público
- Python
- Preços
- recentemente
- recentemente
- reduz
- regime
- relacionado
- Denunciar
- República
- pesquisadores
- resposta
- responsável
- Execute
- s
- Dito
- scams
- escrita
- Scripts
- segurança
- Setembro
- Série
- servidor
- Serviços
- conjunto
- Conjuntos
- contexto
- desde
- SIX
- Redes Sociais
- Engenharia social
- Software
- Espanhol
- divisão
- propagação
- Etapa
- Estágio
- Ainda
- Estratégico
- bem sucedido
- tal
- sofreu
- suíço
- Target
- visadas
- Profissionais
- técnica
- técnicas
- que
- A
- o mundo
- roubo
- deles
- Eles
- então
- deles
- isto
- ameaça
- Através da
- Assim
- para
- levou
- ferramenta
- Traçar
- pista
- tradicional
- dois
- UN
- descoberto
- para
- sem precedente
- usar
- usava
- usuários
- usos
- utilização
- vário
- versão
- versões
- Vítima
- vítimas
- espera
- foi
- foram
- qual
- Windows
- de
- dentro
- mundo
- zefirnet
- Zip
